在本地 Microsoft 应用中使用 OAuth 2 的隐私影响

需要考虑的一些重要事项：

（1）OAUTH 2比密码更安全。

OAuth 2.0 是一种授权协议，而非身份验证协议。因此，它主要被设计为授予对一组资源（例如...用户数据）的访问权限。

知道你的密码和用户名的应用程序可以不受限制地访问您的帐户。对于 Gmail 来说，这意味着恶意应用程序可以完全控制您的帐户以及所有连接的 Google 服务，例如云端硬盘、日历、YouTube 帐户、Android 手机、开发人员 API 等。

使用 OAUTH相反，该应用程序会告诉谷歌服务器它想要访问什么数据， 和Google 提示您作为用户确认，准确显示应用可以访问哪些数据。并且您可以查看此类数据请求（这就是您提到的“可怕的对话框”）。

确认后，服务器会发出可撤销OAUTH 访问令牌（或者更确切地说，应用程序可以交换访问令牌的授权码 - 有关详细信息，请阅读第一个链接）。

OAuth 2.0 使用访问令牌。访问令牌是代表最终用户访问资源的授权的数据。

这意味着你作为用户可以随时撤销之前授予应用程序的访问权限，如这里所述。因此，您无需仅仅因为出于某种原因不再信任某个应用程序而更改密码。另一方面，即使您更改密码，OAUTH 访问仍将有效（因此您不必在多个连接的应用程序中重新输入密码！）

（2）使用这种形式的身份验证是否会以某种方式“ping”Microsoft，从而向他们泄露我正在登录的事实？

可能是的，但无论如何，情况就是这样，与 OAUTH 无关。微软可以知道你每次打开 Outlook，因为他们制作了该应用程序。如果你使用该应用程序，他们会“知道”你的 Gmail 地址，因为你必须输入它，这样 Outlook 才能代表你发送电子邮件。微软可以知道你在 Outlook 中输入的每一个按键。他们收集的数据量写在他们的隐私政策中，并且在一定程度上是保密的通过 Outlook 中的设置进行控制。 在那之后，问题在于你对微软的信任程度。

（3）OAUTH 将会添加哪些数据？

通常的实现方式是，应用程序本身连接到 Google 的 OAUTH 服务器，并且您的应用程序会将任何机密存储在您的计算机上。正如您所读到的在第一个链接中OAUTH 在客户端和授权服务器之间建立直接链接：

使用OAuth 2.0，访问请求由客户端发起，例如移动应用程序、网站、智能电视应用程序、桌面应用程序等。

微软可能会通过他们自己的服务器重定向此，但考虑到§2，这完全无关紧要。

（4）提示没有明确说明所描述的访问权限和信息是否会与 Microsoft 共享，还是仅与我正在使用的本地应用程序共享

如第 2 节所述，这等同于同一件事。Outlook 由 Microsoft 控制，因此他们可能有权访问您在此应用中执行的任何操作。这等同于您“信任”Microsoft 不会阅读您的个人电子邮件的程度。鉴于 Microsoft 目前正在推广 CoPilot 和其他 AI 应用程序，他们可能希望将您的所有数据发送到他们的服务器，这样他们就可以使用“您信任的 AI Copilot”来“帮助”您“更好、更快地”撰写电子邮件。因此，请务必阅读隐私政策，并在 Outlook 中配置隐私设置. 并继续对产品更新保持警惕：永远不要点击协议。

（5）那么，我可以信任微软吗？

这您自己链接的文章，不是关于 Outlook 2016，而是关于“新 Outlook”，但那里写道：

例如，在新版 Outlook 中添加非 Microsoft 托管但位于公司邮件服务器上的邮件帐户时，程序会显示一条消息。它链接到一篇支持文章，文章中简单地指出非 Microsoft 帐户与 Microsoft 云同步，目前支持 Gmail、Yahoo、iCloud 和 IMAP 帐户。新版 Outlook 也在 Android、iOS 和 Mac 版本中实现了这一点。这意味着“您的电子邮件、日历和联系人的副本将在您的电子邮件提供商和 Microsoft 数据中心之间同步”。这使公司可以完全访问所有电子邮件，并允许其阅读和分析它们。

这使得微软的发展方向非常明确，这种做法将来可能会与自动产品更新“互换”。所以，你自己做出选择吧。

我建议使用由非营利组织运营的开源邮件客户端，例如Mozilla 的 Firefox。可能需要一些时间来适应，但您的数据将只保留在 Google 上，而不会转到 Microsoft（如果这对您更好的话）。因此，我真正推荐的是使用一些非免费但注重隐私的电子邮件服务。