这里有个照片服务网站，Zooomr，直接点它的“登录”，可以看到，它现在支持5种登录方法，其中有一种是Google。在Google认证方法中，输入自己的Google账号，也就是Gmail账号，它会生成一个“临时密码”，这个密码可以发到Gmail信箱或是Gtalk上面，或者两个都发，这只有自己可以取得。再输入这个临时密码，就算是认证成功，可以进入Zooomr了。

之所以看到这个，是因为BBS上有网友指出Gtalk的官方客户端并不加密，它只是在登录阶段采用HTTPS的安全连接，保证这里输入的账号和密码不会被别人看到，认证结束之后就走普通路了。

我看过点XMPP的协议，它的要求是必须实现TLS，也就是传输层安全协议，它在TCP之上实现安全的连接，而之后XMPP的通信就全部走这条路，是相当地安全。

在Google到这篇文章之后，我认为那位网友的说法应该是正确的（修正一下刚刚的回复吧）。在这里，Gtalk用的是Token令牌的认证方法，认可之后发给你一个令牌，凭这个牌子就可以使用Gtalk的服务了，用客户端也行，在Gmail里也可。Zooomr的Temp Pass就相当是发来的令牌，它只会发到用户自己可以看到的地方。Zooomr不知道你的密码，也得不到这个临时密码，这个工作应该是需要Google配合实现的。

这种服务一直以来是互联网的理想之一，微软有Passport，我记得Adobe在某个地方用了这种服务；Sun的自由联盟(Liberty Alliance Project)，没见到应用。还有OpenID。现在加上Google。其实Drupal社区也实现了一个类似的东西，可以在自己的Drupal网站上接受统一的Drupal ID认证。

当然，普通的Jabber客户端都不认得token认证方法，它们会再发请求，然后Gtalk服务器会告诉它们Plain的机制，全部走安全的TLS。

对这些东西，我实际上半懂不懂，有说错的地方，请随时指出。

[update]同一位网友确认官方Win版客户端在认证之后不加密。其他客户端全程加密。https连接下的Gmail界面内的聊天是加密的。