做过微信登录的，其实就是通过微信授权获取access_token，然后用它获取用户的openid，在自己数据保存一个id和openid对应关系，密码随机设，下次授权登录直接从数据库判断即可

我只做过微信登录，由始至终都是拿不到用户密码的，因为出于安全考虑不应该把用户的微信/qq密码告诉你，但是你居然能拿到明文密码？你只要给用户表里增加一个字段，存好用户的 openid ，等待微信/qq告诉你有个 openid 为 xxx 的用户登录了，就用这个 xxx 去寻找 openid 为 xxx 的用户，查到了就让他登录，没查到就让他注册。

openid 是每个用户唯一的标识，而且不会改变。

不用担心只使用 openid 登录会不安全，因为你能保证这个 openid 是来自腾讯的，腾讯说这个人登录了，你难道还能说不是吗？

通过QQ信任登录
第三方始终不能获取到用户密码的

给用户设置一个你也不知道的随机密码

登陆匹配openid 但是不作为密码匹配

你要把 openid 作为在你网站的用户名，
登录验证就是你的把 openId accessToken 发送给腾讯的服务器，服务器会把验证结果告诉你，
如果认证正确，就可以让这个用户用这个帐号登录了

第三方认证过程

首先你的服务器有个信任的服务器，比如腾讯的服务器

1、首先用户选择 第三方登录，跳转到腾讯服务器认证
2、腾讯服务器认证成功后会给用户返回一个 url 类似于 http://你的服务器/path/to/login?openId=xxxxxx&accessToken=yyyyyyy （其中，openid每个QQ号对应的唯一不变，accessToken是腾讯服务器随机生成，有有效期）
3、然后用户的页面就会跳转到这个url ，你的服务器就会从用户那里获得这个 openId 和 accessToken
4、你得到这个 openId 和 accessToken ，然后你就的服务器给腾讯的服务器（这个服务器是你可以信任的）用get/post把这两个参数发过去。然后腾讯服务器会给你答复，这个是不是有效的。
5、如果是效，那么就可以让他用这个 openid 登录，否则登录失败。

openid 是大家都知道的，所以说可以伪造，但是 accessToken 是认证成功之后腾讯服务器随机生成，并且有一定的有效期的，所以即使有人伪造了两个这样的参数,在第四步，你给你信任的腾讯服务器发送这个参数的时候服务器自然会给你返回一个错误。。。

第三方认证本身就是让你不需要保存用户的密码,不需要你认证，只是第三方服务器认证用户之后，把认证结果告诉你而已，只是保存用户的唯一标识，在这个里面这个唯一的标识就是 openid