oauth-helper

🔐 Telegram 确认的安全自动登录

支持 Google/Apple 等 7 大平台的 OAuth 自动化登录工具,通过 Telegram 实时确认保障账户安全,简化跨站登录流程。

收藏
3.1k
安装
1.4k
版本
v1.1.0
CLS 安全性认证2026-05-03
点击查看完整报告 >

使用说明

OAuth Helper 是一款专为简化多平台登录而设计的自动化工具,通过创新的"自动执行 + 人工确认"模式,在提升效率的同时保障账户安全。该 Skill 支持 Google、Apple、Microsoft、GitHub、Discord、WeChat、QQ 七大主流 OAuth 提供商,覆盖了从国际云服务到国内社交平台的广泛登录场景。

核心工作流程分为两个关键阶段。当用户请求登录某网站时,Skill 首先自动扫描目标站点的登录页面,识别所有可用的 OAuth 按钮(如"使用 Google 登录"),并通过 Telegram 向用户发送带编号的选项列表。用户回复数字后,Skill 自动点击对应按钮跳转至授权页面。在 OAuth 提供商页面,Skill 会再次发送 Telegram 确认请求,明确告知"XX 网站请求使用 XX 账号登录",仅在获得用户"yes"回复后才会执行后续的账号选择、授权点击等操作。对于微信和 QQ 这类二维码登录平台,Skill 会自动截图并发送至 Telegram,用户通过手机扫码完成授权。

该 Skill 的显著优势在于其安全设计哲学。所有敏感操作均强制经过 Telegram 通道的用户显式确认,杜绝了自动化工具擅自授权的风险。内置的智能检测机制能够处理账号选择页、用户同意页、双因素认证(2FA)等复杂交互,支持 60 秒超时保护和错误重试机制。对于企业用户和开发者而言,这大大减少了在多个账号间反复切换的繁琐操作,同时保持了 OAuth 协议本身的安全边界。

然而,该 Skill 也存在明显局限性。首先,它重度依赖 Clawd browser 环境,要求用户必须预先在浏览器中完成各 OAuth 提供商的登录,且保持登录状态有效,这在多账号管理场景下增加了配置复杂度。其次,Telegram 确认机制虽然增强了安全性,但引入了 60 秒超时限制,不适合需要完全无人值守的自动化场景。此外,Skill 通过 CSS 选择器定位页面元素,一旦 OAuth 提供商更新页面结构,自动化流程可能失效。作为 T3 来源的个人开发者项目,其长期维护稳定性和安全更新频率也需持续关注。

该 Skill 最适合需要频繁切换多平台账号的开发者、数字营销人员和运维工程师,特别是那些重视安全性、愿意在效率与风险控制之间寻求平衡的用户。例如,管理多个 GitHub 组织仓库的开发者,或需要测试不同 Google Workspace 账号权限的 QA 团队。同时,由于原生支持微信和 QQ 登录流程,也特别适合国内用户的自动化需求。

使用风险方面,主要涉及依赖项可用性和环境配置。性能上,由于需要等待 Telegram 用户响应,单次登录流程通常需要数十秒,不适合对实时性要求极高的场景。安全层面,虽然 Skill 本身不存储用户密码,但依赖浏览器中的持久化登录状态,需确保 Clawd browser 运行环境的安全性。建议用户定期检查 Telegram 通道配置,防止确认消息被截获,并关注 Skill 更新以适应 OAuth 提供商的页面变更。此外,建议仅在受信任的设备上使用该 Skill,避免在公共或共享环境中保存敏感的浏览器登录状态。

安全解读

核心用法

OAuth Helper 是一款面向自动化场景的 OAuth 登录流程辅助指南,支持 Google、Apple、Microsoft、GitHub、Discord、WeChat、QQ 七大主流身份提供商。该 Skill 并非直接执行登录,而是提供标准化的检测模式、点击序列和用户确认协议,需配合 Clawd 浏览器自动化工具及 Telegram 消息通道使用。

工作流程分为两条主线:Flow A 处理多选项登录页(自动检测可用 OAuth 按钮→Telegram 交互式选择→跳转),Flow B 处理授权确认页(识别提供商域名→提取请求站点信息→用户二次确认→执行预定义点击序列)。WeChat 与 QQ 采用二维码扫描模式,需用户移动端配合完成。

显著优点

  • 零代码风险:纯 Markdown 文档型 Skill,无实际可执行代码,静态分析得分 95
  • 广泛兼容:覆盖全球 5 大主流 OAuth 服务 + 中国 2 大社交登录
  • 用户可控:每次授权前强制 Telegram 确认,避免静默越权操作
  • 透明可审计:所有点击序列、检测模式完全公开,无黑盒逻辑
  • 合规达标:通过 GDPR 数据最小化、无硬编码凭证、无权限升级诱导等 6 项合规检查

潜在局限

  • 环境依赖重:需预配置 Clawd 浏览器(各提供商需一次性登录)、Telegram 通道
  • 2FA 场景中断:遇到双因素认证时需用户手动介入,无法全自动闭环
  • T3 来源风险:维护者为社区项目(helloliuyongsheng-bot),非官方背书
  • 动态页面脆弱:OAuth 提供商前端改版可能导致检测选择器失效
  • 二维码时效性:WeChat/QQ 二维码存在超时重刷需求

适合人群

  • 已部署 Clawd 自动化基础设施的技术团队
  • 需要高频切换多账号的开发者/测试人员
  • 重视手动确认环节、拒绝完全无人值守登录的安全敏感用户
  • 熟悉 OAuth 流程、具备基础前端调试能力的进阶用户

常规风险

  • 凭证泄露风险:虽 Skill 无存储,但浏览器预登录状态若被恶意利用可导致账户接管
  • Telegram 通道安全:确认消息若被拦截或伪造,可能诱导用户误授权
  • 中间人攻击:网络层需确保 TLS 1.3 完整链路,避免流量劫持篡改确认内容
  • 误授权风险:用户可能在未细读请求站点信息时快速回复 "yes",导致钓鱼站点获得合法身份令牌

oauth-helper 内容

手动下载zip · 2.6 kB
SKILL.mdtext/markdown
请选择文件