隐私政策

1. 适用范围

本隐私政策说明 OneAuth（以下称"本服务"）在为接入应用提供身份认证时，如何收集、使用和保护你的个人信息。当你通过任一接入应用使用 OneAuth 登录时，即表示你已阅读并理解本政策。

本服务仅承担身份认证职责，不决定接入应用如何使用你的身份信息；各应用对其自身数据处理行为单独负责。

2. 我们收集的信息

为完成身份核验与安全防护，本服务可能收集以下信息：

• 身份标识：电子邮箱地址、显示名称、头像，以及第三方身份提供商返回的唯一用户标识。
• 登录凭证元数据：登录方式、登录时间、会话标识，以及签发的令牌的有效期信息。
• 安全与设备信息：IP 地址、浏览器与设备特征，用于风控、防滥用与异常登录检测。

本服务通过 Google、GitHub、Apple、微信等联合登录时，不会收集或存储你在这些平台的账号密码。

3. 信息的使用

收集的信息仅用于以下目的：

• 核验你的身份并向发起登录的应用签发身份令牌；
• 维持登录会话并支持在接入产品间的单点登录；
• 检测和防范未授权访问、滥用及欺诈行为；
• 履行适用的法律义务与安全审计要求。

4. 第三方身份提供商

当你选择通过第三方平台登录时，你与该平台之间的交互受其各自隐私政策约束。本服务仅接收完成认证所必需的身份结果（如邮箱、显示名称、头像与唯一标识），并按本政策处理。

5. 信息的共享

本服务仅在以下情形共享你的信息：

• 向发起登录的应用返回完成认证所需的最小身份声明；
• 在法律要求或为保护本服务及用户的合法权益时，向有权机关披露；
• 不会出于营销目的向任何第三方出售或出租你的个人信息。

6. 数据存储与留存

数据存储于 Cloudflare 基础设施。授权码、刷新令牌、临时票据、邮箱验证码挑战与过期会话等短时数据，由定时任务在到期后自动清理。账号身份记录在你保有接入产品账号期间予以保留。

7. 安全措施

本服务采用行业标准的安全实践，包括：身份令牌使用 ES256 非对称签名、授权码流程强制 PKCE（S256）、访问令牌短时效与刷新令牌轮换、传输层加密等，以降低凭证泄露与重放风险。

8. 你的权利

你有权访问、更正或删除与你相关的身份信息。由于身份信息可能与具体接入应用绑定，部分请求可能需要通过相应应用一并处理。如需行使上述权利，请联系 privacy@hekmon.com。

9. 政策更新

我们可能不时更新本政策。重大变更将在本页面公布并更新"最近更新"日期。继续使用本服务即表示你接受更新后的政策。

10. 联系我们

对本隐私政策有任何疑问，请通过 privacy@hekmon.com 与我们联系。