最近在做APP的QQ登录,搭建好了之后,能够获取openid和token。一开始准备直接提交openid 去查询。发现这样有个问题,一旦openid被泄露,是不可更改的,所以想请教大家如何安全的传送到服务器认证呢
1 回答
拉莫斯之舞
TA贡献1820条经验 获得超10个赞
首先!首先!请一定不要直接提交OpenId到服务器,新浪已经警告过此事,直接传递OpenId一旦遭遇中间者攻击,意味着攻击者可以模拟你整个用户系统中任何一个也是用此第三方登录的用户进行登录,其破坏性是灾难的。
其次。请传递AccessToken到后端服务器,再由后端服务器调取第三方接口获取OpenId和其他信息,即使AccessToken被他人劫持,攻击者也是无法调取第三方接口的,因为调取接口时不但需要AccessToken,还需要SecretKey,而SecretKey不会放在客户端,所以基本没有泄漏风险。
添加回答
举报
0/150
提交
取消