程序员经验分享-hwhale

从微信授权登录到数据安全性的思考总结

2023-11-17

前置知识:微信授权登录过程和相关名词,access_token、code、openid等;

微信授权登录,大都是拉起微信授权页面,用户同意授权后,再跳到自己应用的绑定手机页面进行绑定手机的操作,绑定之后自动登录,会话就像不会过期一样,或者是过期以后再次点一次授权按钮即可。不用像以前一样,每次都用密码或验证码登录,让用户再做繁琐的登录操作。
如果是已经绑定,则没有红圈里面的步骤.png

如图,第一次微信授权还好,因为没有绑定,所以需要手机验证码来确保是本人授权绑定的。但是已经绑定的,就要直接做无感登录。那么问题就来了,不用频繁的验证码和密码,不用和用户产生交互,怎么保障绑定后的无感登录不是伪装的?首先看无感登录需要元素:手机号和微信用户标识openid。手机号肯定是暴露在外的,那如果openid也暴露的话,所有知道用户手机号和openid的人都可以登录,是不安全的。确保openid不暴露,可以有以下的操作:
(1)可以对其进行RSA加密传输,到后台再解密;
(2)微信回调返回code,直接作为无感登录入参,传到后台,在后台加上appId和appSerect获取openid;

那么延申到其他恒定的、交互频密的、有关登录

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

整理总结

移动开发

后端

openid

安全

从微信授权登录到数据安全性的思考总结 的相关文章

  • MongoDB - 整合 SpringBoot 操作全流程

    目录 一 MongoDB 整合 SpringBoot 1 1 引入依赖 1 2 配置文件 1 3 集合操作 1 4 相关注解 1 5 文档操作 1 5 1 查询 1 5 2 更新 1 5 3 删除 一 MongoDB 整合 SpringBo

  • 你的服务器还安全吗?用户数据是否面临泄露风险?

    一系列严重的网络安全事件引起了广泛关注 多家知名公司的服务器遭到黑客挟持 用户的个人数据和敏感信息面临泄露的风险 这些事件揭示了网络安全的脆弱性和黑客攻击的威胁性 提醒着企业和个人加强对网络安全的重视 一 入侵案例 1 1 蔚来数据泄露 1

  • 全网最全(黑客)网络安全自学路线!熬夜两周整理(巨详细)

    学网络安全有什么好处 1 可以学习计算机方面的知识 在正式学习网络安全之前是一定要学习计算机基础知识的 只要把网络安全认真的学透了 那么计算机基础知识是没有任何问题的 操作系统 网络架构 网站容器 数据库 前端后端等等 可以说不想成为计算机

  • 为什么我强烈推荐大学生打CTF!

    前言 写这个文章是因为我很多粉丝都是学生 经常有人问 感觉大一第一个学期忙忙碌碌的过去了 啥都会一点 但是自己很难系统的学习到整个知识体系 很迷茫 想知道要如何高效学习 这篇文章我主要就围绕两点 减少那些罗里吧嗦的废话 直接上干货 CTF如

  • 【安全】原型链污染 - Hackit2018

    目录 准备工作 解题 代码审计 Payload 准备工作 将这道题所需依赖模块都安装好后 运行一下 然后可以试着访问一下 报错是因为里面没内容而已 不影响 准备工作就做好了 解题 代码审计 const express require exp

  • 【安全】Java幂等性校验解决重复点击(6种实现方式)

    目录 一 简介 1 1 什么是幂等 1 2 为什么需要幂等性 1 3 接口超时 应该如何处理 1 4 幂等性对系统的影响 二 Restful API 接口的幂等性 三 实现方式 3 1 数据库层面 主键 唯一索引冲突 3 2 数据库层面 乐

  • 【安全-SSH】SSH安全设置

    今天发现自己的公有云服务器被攻击了 在这里插入图片描述 https img blog csdnimg cn direct cafdca04646f4b8b838400ec79ac282f png 然后查看了登录日志 如上图 ls sh va

  • 哪个 openid / oauth 库可将 django 项目连接到 Google Apps 帐户?

    我正在为一家使用 Google Apps 登录的公司开发一个 Intranet django 项目 不使用 GAE 所以我希望我的用户能够使用他们的 google 帐户登录来登录我的 django 项目 OpenID 似乎很合适 尽管也许

  • 如何在 Jenkins 中创建用户并将其添加到组中进行身份验证?

    我选择使用 Jenkins 自己的用户数据库 安全领域进行用户登录 因为我无法在公司中使用 LDAP 当您决定将主机名或端口号更改为其他名称时 Google 的 OpenID 就会出现问题 为了安全起见 我使用 基于项目的矩阵授权策略 模式

  • OpenID:尝试从 Google OP 获取电子邮件地址

    我正在使用 dotnetopenauth 3 2 来实现 Openid 但不知道如何让 Google 在声明响应中传递电子邮件地址 我知道 Google 不支持简单注册 但我无法确定他们支持什么 对这个问题的警告是 我刚刚开始学习 Open

  • Google Openid:这是一种可以接受的注销方式吗?

    我在我的网站上使用 google open id 作为登录系统 我在注销用户时遇到了一些麻烦 销毁网站上的会话显然不会将他们从谷歌帐户中注销 并且在下次登录时 用户会自动使用浏览器登录的任何谷歌帐户进行登录 看了这里的几个问题 我发现我可以

  • MSN 是 OpenID 提供商吗?

    MSN 是 OpenID 提供商吗 如果是这样 您知道 URL 是什么样的吗 我正在尝试将 MSN 添加到具有用于登录网站的特殊按钮的提供商列表中 Microsoft 有一个附加到 Windows Live ID 的 OpenID 服务目前

  • 通过 Curl OpenId

    如何使用 Curl 进行基于 OpenId 的身份验证 首先我能做到吗 问候 阿拉巴克什 我想你正在谈论curl命令行 而不是库 我没有尝试过 但是根据我对OpenID和curl的了解 应该是可以的 但是 还没有完全自动化 如果您想要真正轻

  • 在 .NET 中使用 FB Connect / Google OAuth 登录

    我希望允许我的用户使用我的登录系统 FB Connect 或 Google Login 登录我的网站 我不想仅使用大型库 如 dotnetOpenAuth 来实现这两个选项 那么我应该如何实现这一点 其他问题 我应该如何将 FB Googl

  • 什么是可以轻松集成到现有应用程序的优秀 Ruby on Rails 论坛?

    什么是可以轻松集成到现有应用程序的优秀开源 RoR 3 论坛 可选功能 OpenID 支持 Haml SCSS 模板 支持表情符号 YouTube 图像等 我可能会对其进行很多更改 而且我对 Ruby 的了解仍然很弱 因此干净的 带注释的代

  • PHP SREG 中的 JanRain OpenID?

    我使用我发现的名为 open id 选择器的修改后的登录设置了演示 登录工作正常并且身份 url 返回 但我要求的 SREG 数据从未填充 必需或可选 我正在使用 Gmail 帐户登录我的页面 这是我编辑的 try auth php 中的代

  • OpenID,如何开发提供商

    目前我正在开发一些基础设施 并且已经实现了自己的 RESTful 身份验证机制 现在我想也许我不应该走这条路并使用行业标准 因此与我的项目的互操作性在身份验证和授权方面可能很琐碎并且更容易理解 查了一些文章后googling在 Stacko

  • 身份服务器流程

    IdentityServer 支持不同的 OpenId Connect 流 这些流定义在Flows https github com IdentityServer IdentityServer3 blob 4a44a9f03879c85bb

  • 本地主机上使用 DotNetOpenAuth 的 OpenID 提供程序

    我在本地运行 DotNetOpenAuth 示例提供程序 它似乎可以通过 Web 浏览器正确处理请求 我可以在调试器中单步执行授权处理程序 我有一个项目可以通过 Google 和其他提供商进行身份验证 但无法通过示例提供商进行身份验证 示例

  • 如何将openId与rails 3中的设备集成

    我是 Rails 新手 刚刚完成了一个简单的设计设置 我正在寻求实现一些仍然使用核心设计功能集但允许通过 openid 提供商登录而不是 使用电子邮件或用户名注册 的东西 我如何开始使用最新的设计宝石和rails 3 看看devise op

随机推荐

  • [数据分析与可视化] Python绘制数据地图4-MovingPandas入门指北

    MovingPandas是一个基于Python和GeoPandas的开源地理时空数据处理库 用于处理移动物体的轨迹数据 它提供了一组强大的工具 可以轻松地加载 分析和可视化移动物体的轨迹 通过使用MovingPandas 用户可以轻松地处理

  • Window安全策略的制定与实施

    一 安全策略一 给系统打补丁 1 加强windows用户账户认证和访问控制权限控制 通过经常给电脑打补丁来保护电脑数据 这是一个保护电脑 防护很多病毒的有效措施 因为大多数电脑病毒都是通过WINDOWS操作系统的漏洞进行攻击 破坏电脑的正常

  • Django图书商城系统实战开发-实现商品分类管理

    Django图书商城系统实战开发 实现商品分类管理 目前项目已经实现了登录注册 商品详情查看 购物车购买 个人订单管理 评价功能 个人中心管理 管理员登录 会员管理 请设计商品分类管理的相关页面以及视图函数 首先你要知道 商品分类有一级分类

  • (深度学习,机器学习)卷积神经网络

    1 卷积神经网络使深度学习卷土重来是因为卷积神经网络非常适合计算机视觉应用的模型 2 卷积神经网络基本原理包括 卷积算子 卷积的特征 卷积神经网络的典型结构 以及其中的卷积层和池化层 3 卷积提供了能够提升机器学习效果的的三种重要方法 系数

  • 考研机试题 -- DFS、模拟、递推、BFS

    目录 全排列 DFS 八皇后 DFS 反序输出 模拟 特殊乘法 模拟 众数 模拟 吃糖果 模拟 递推数列 递推 玛雅人的密码 BFS 全排列 DFS https www noobdream com DreamJudge Issue page

  • React16新特性

    React的16版本采用了MIT开源许可证 新增了一些特性 Error Boundary render方法新增返回类型 Portals 支持自定义DOM属性 setState传入null时不会再触发更新 更好的服务器端渲染 新的打包策略 1

  • vue 基于el-table实现多页多选、翻页回显过程

    近半年时间在接触vue写pc页面 文中内容即在实际的开发过程中遇到的实际问题 1 问题交代 在pc版的列表页面中 假设当前在列表的第一页 想要在当前页面选择几行数据 跳转到其他页面选择几行数据 选择后的数据页面展示为已勾选状态 经过跳转页面

  • VMware虚拟机安装及如何正确联网

    需要下载 1 VMware 12 第一个图和第二个图是借用其他网友的 本教程使用全部为VMware12 VMware 14同样适用于本文 2 Linux系统 CentOS 6 2 x86 64 bin DVD1 iso 1 安装vmware

  • LIRE代码剖析1——运行第一个图像检索

    lucene是一个开源的强大的索引工具 但是它仅限于文本索引 基于内容的图像检索 CBIR 要求我们利用图像的一些基本特征 如颜色纹理形状以及sift surf等等 搜索相似的图片 LIRE Lucene Image Retrieval 是

  • javascript_JavaScript走向成熟

    javascript 明年JavaScript将有20年的历史 从首次在Netscape浏览器中首次亮相开始算起 这是一门具有悠久历史的语言 并且从其早期开始就带来了很多负担 但是随着它离开少年时代的到来 我认为这是一种最终发展起来的语言

  • Nginx安装Lua

    Nginx安装Lua 1 安装Lua 两个二选一 yum install readline devel CentOS sudo apt get install libreadline dev Ubuntu sudo apt get inst

  • _this2.setState is not a function错误解决办法

    编写RN的小伙伴都知道setState是RN最常见的一个函数 但是这个最简单的函数却是经常报错 这一次我们就来解决 this2 setState is not a function这个错误 首先来看一下我的代码 这段代码就是发送一个请求 然

  • 【SpringBoot学习笔记(四)】之扫描Bean,依赖注入,Bean的生命周期,自定义Bean

    本文章由公号 开发小鸽 发布 欢迎关注 老规矩 妹妹镇楼 一 扫描Bean 1 概述 之前 我们通过构造一个IOC容器来获取Bean 每个Bean对象都要添加 Bean注解 当Bean对象比较多的时候非常麻烦 这里我们使用 Componen

  • 解答:Java是如何实现跨平台运行的?

    Java有一个其他语言都没有特点 那就是跨平台 跨平台是什么意思呢 我们首先来看看平台是指什么 平台就是指我们计算机的操作系统 例如 Windows Linux Mac等操作系统 跨平台的意思就是Java程序 在一次编译后 在这些平台上都可

  • JAVA的内存模型

    Java的内存模型决定了一个线程对共享变量的写入何时对其他线程可见 Java内存模型定义了线程和主内存之间的抽象关系 具体如下 共享变量存储于主内存 计算机的RAM 之中 每个线程都可以访问 每个线程都有私有的工作内存或者称为本地内存 工作

  • ug10万能许可证一键安装_优胜UG4.0-UG12.0-许可证一键自动安装下载

    优胜UG许可证自动安装 NX4 0 NX12 0是优胜模具旗下相应模具软件的证书安装程序 压缩包里有对应的版本号选择 xp系统早年的32位也有对应msi exe验证文件 下方有详细说明 推荐给有需要的用户 ysugxkz nx4 0 nx1

  • Jenkins打包部署gitee项目至阿里云ECS服务器

    原文地址 Jenkins打包部署gitee项目至阿里云ECS服务器 BIGTREE whwtree com 所需插件 Git Parameter Plug In插件 Publish Over SSH插件 Gitee Plugin插件 Nod

  • 7-2 jmu-ds-最长数字序列 (20 分)

    输入一个字符串 求该字符串中最长连续数字序列出现的起始位置及其长度 输入格式 输入一个字符串 可包含空格 输出格式 输出内容 最长数字序列起始位置和长度空格隔开 输出尾部不能有空格 输入空串 输出 NULL 输入样例 123ab12345a

  • 【工具篇】IntelliJ IDEA 设置编码格式UTF-8

    系统 Win11 Idea IDEA 2022 3 2 Ultimate Edition 文件编码 Editor gt File Encodings 编译编码 Build Execution Deployment gt Complier g

  • 从微信授权登录到数据安全性的思考总结

    前置知识 微信授权登录过程和相关名词 access token code openid等 微信授权登录 大都是拉起微信授权页面 用户同意授权后 再跳到自己应用的绑定手机页面进行绑定手机的操作 绑定之后自动登录 会话就像不会过期一样 或者是过

热门标签