乐韵答题 发布于 2017-05-14 23:43

我在google上面搜索了一些针对app的用户认证方案,也对比过传统PC时代的cookie认证,觉得都不太合理,我想到一个方案,不知道是否合理?

需求大概是这样的,用户通过登录第三方,走oauth接口来登录我们的app。

大概的流程如下:

  1. 用户先登录第三方,然后客户端拿到用户的数据,用https返回发给服务端。其中,传递的数据如下:
{
    “user_id”:”123123123” ,
    “access_token”:”accesstokenstrng”,
    “platform”:”qq”,
    “platform_name”:”xxx”,
}

2、服务端鉴权成功后,拿到用户更进一步的数据,主动帮用户创建一个用户。
3、服务端接着把user_id、登录状态相关信息、动态生成的secret加密串,存储到session之类的地方。
4、服务端把session_id、secret返回给客户端,客户端把这个secret存到内存里面。
5、至此,创建用户成功,结束https连接。

6、后续所有涉及到后端增删改的请求,都走http协议。在发送数据时,客户端先用secret对传输的数据做签名,并把签名signature、session_id一起带过来。
7、服务端根据session_id找到用户的数据,然后同样用secret对数据进行签名。如果两者一样,就证明数据是合法的。然后,就可以往下走常规的业务逻辑了。

这里面又涉及到两个问题:
1、客户端和服务端初始的https是否必要?其实我完全可以把secret内置到app里面。
2、我这种用secret对数据做签名的做法,比起自己搞个公钥私钥走https,好像没啥区别?

可能重复的问题:用PHP做服务器接口客户端用http协议POST访问安全性一般怎么做

撰写答案
今天,你开发时遇到什么问题呢?
立即提问
活跃用户
  • 1
    问道摩托
  • 2
    袁广龙976丶
  • 3
    逍遥子
  • 4
    亮仔
  • 5
    芙蓉花
  • 6
    作小die_syj
  • 7
    王丽珠景平怡伦_621
  • 8
    adfa3sd5f6a
  • 9
    欣欣大妮
  • 10
    狂风DKC想毕业321
PHP1.CN | 中国最专业的PHP中文社区 | PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | PHP问答
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved PHP1.CN 第一PHP社区 版权所有