从微信授权登录到数据安全性的思考总结

最新推荐文章于 2024-08-22 18:04:28 发布
最新推荐文章于 2024-08-22 18:04:28 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: 整理总结 文章标签: 移动开发 后端 openid 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RoxyJ/article/details/105468695
版权
本文讨论了微信授权登录流程及其安全性,重点在于如何保护openid不被暴露,以防止未经授权的登录。提出了包括RSA加密、使用时效性code和限定调用范围在内的安全措施,并延伸到其他敏感数据的保护策略。
摘要由CSDN通过智能技术生成

前置知识:微信授权登录过程和相关名词,access_token、code、openid等;

微信授权登录,大都是拉起微信授权页面,用户同意授权后,再跳到自己应用的绑定手机页面进行绑定手机的操作,绑定之后自动登录,会话就像不会过期一样,或者是过期以后再次点一次授权按钮即可。不用像以前一样,每次都用密码或验证码登录,让用户再做繁琐的登录操作。
如果是已经绑定,则没有红圈里面的步骤.png

如图,第一次微信授权还好,因为没有绑定,所以需要手机验证码来确保是本人授权绑定的。但是已经绑定的,就要直接做无感登录。那么问题就来了,不用频繁的验证码和密码,不用和用户产生交互,怎么保障绑定后的无感登录不是伪装的?首先看无感登录需要元素:手机号和微信用户标识openid。手机号肯定是暴露在外的,那如果openid也暴露的话,所有知道用户手机号和openid的人都可以登录,是不安全的。确保openid不暴露,可以有以下的操作:
(1)可以对其进行RSA加密传输,到后台再解密;
(2)微信回调返回code,直接作为无感登录入参,传到后台,在后台加上appId和appSerect获取openid;

那么延申到其他恒定的、交互频密的、有关登录等敏感操作的字段数据,要保障其安全,手段有哪些?从什么方面去考虑呢?
(1)app端混淆

最低0.47元/天 解锁文章
null_从0到1
关注
专栏目录
某跳动面试官:说说微信扫码登录背后的实现原理?
超逸の学习技术博客
10-09 2236
引言 这个问题我是在今年8月份的时候被问到过,当时一脸懵,当面试官一提出这个问题,我当场回答这个没接触过,可能不知道。面试官笑了笑:这是一个设计题,如果你原本就会的话,我就不会要你来设计了。 我:(苦笑…)凭借三寸不烂之舌和面试官讨论了起来,说完之后信心满满,但结果反手就收到了一份正式地感谢信。 当时,面试官问你还有什么想要问我的吗? 我请教了这个问题,面试官回答说,你其实也猜到了一点,但是我想要的那个逻辑你没理清楚,然后吧啦吧啦引导了一下,告知可以待会学习一下,这个也挺多人讨论的。 直到今天,又收到了.
开放平台实现安全的身份认证与授权原理与实战:OpenID与OAuth 2.0的关系解析
AI天才研究院
11-17 193
1.背景介绍 随着互联网技术的飞速发展、Web应用日益复杂化、用户对隐私权与数据保护越来越关注,在这种情况下,如何保证应用系统的用户信息的安全性就成了社会越来越多企业面临的共同难题。随着社会对云计算、移动互联网、物联网等新技术的兴趣和采用,越来越多的企业意识到数据安全问题也是企业发展的一项重要任务。这引起了人们对如何保障用户数据安全以及平台认证和授权
微信授权登录及相关的大坑
双子小坏的博客
03-01 1260
微信登录授权是获取用户信息和openid的关键所在,首先需要去配置安全回调域名 找到功能设置,直接右键点击右上方的标志,然后选择功能设置, 之后填写网页授权域名,这个网页授权域名是登录微信公众号的第一个页面,名称必须叫做index,不然的话你就没法设置,因为这里授权的域名只能到某个文件目录下并且会自动寻找叫index的页面,如果你进入的第一个页面不叫index,那么就需要做更改。 ...
微信公众平台 绑定微信用户OpenID与第三方业务账号
810364804
07-30 1627
转自:http://www.abyssly.com/2013/09/20/wx_bind/(原作者的思路蛮清晰的,赞一个!) 最近由于工作需要,接触了微信公众号的开发。业务上要求绑定微信用户和系统用户,以便用户在一次绑定后能够通过系统用户的身份去使用一些功能。我关注的招行信用卡公众号实现了这个功能,所以估计还是可行的,在网上搜索了一下,发现这个问题没什么好的答案,很多都说取不到微信用...
深入认识微信小程序openid
最新发布
hexadecimal_001的博客
08-22 987
定义:OpenID是一种开放标准的认证协议,在微信小程序中,它特指一个用户在微信平台上的唯一标识符。这个标识符是微信小程序用来区分不同用户的“身份证”。作用用户身份验证:通过OpenID,小程序可以验证用户的身份,确保用户的安全性和唯一性。跨平台登录:用户可以使用OpenID在不同的微信小程序或相关应用中进行登录,无需重复创建新账户。隐私保护:OpenID采用非实名制认证方式,有助于保护用户的隐私信息不被滥用。提高用户体验:用户无需在小程序中重复输入个人信息,只需一次登录即可享受所有服务。
探密微信小程序开发中的OpenlD
tzddzdhz的博客
10-09 3093
说到微信小程序开发,我们不得不提到原生系统中自带的OPENiD,用户在跟公众号交互时,为了让程序识别用户的身份,需要有一个身份标识。出于对用户信息安全的考虑,保护用户隐私,微信没有暴露用户的微信号,而是对开发者提供OpenlD,它是一个由数字、大小写英文字母和下划线组成的28位字符串,可以将其理解为加密后的微信号。它的产生规则是:每个微信用户针对每个公众账号会产生一个OpenlD. 对于同一个开发者,可能会开发多个公众号以及移动应用,假如需要做到用户共通,则需要在微信开放平台中将这些公众号和移动应用绑定到同
微信小程序安全登录,必须先校验微信返回openid,确保信息唯一性。
PHP代码的博客
06-28 1141
微信小程序安全登录,必须先校验微信返回openid,确保信息唯一性。
微信小程序开发【知识点大全】
zik的博客
04-22 743
微信小程序开发重点知识点token 知识点 token 有些接口是可以公开访问的,有些是不允许公开访问的,所以要设置token进行区分验证。 token机制: 客户端获取一个code 通过code进行请求服务端的getToken接口(此接口会进行请求微信进行获取用户在微信的用户信息) 我们进行生成一个token(一个随机的字符串) 完成 token=>useinfo_wechat 的组合,然后进行返回给客户端token 以后客户端都携带token进行访问接口 首先验证token,符合的话就进行放行
【功能业务篇】APP授权微信登录、绑定账号测试思考
专业资深测试者,多年质量管理经验,浪迹网游、金融、房产、招聘及海外行业多年,CDSN百万原创阅读,公众号500+原创文章,提倡测试左移、风险、越权、假设、探索测试,喜欢用抽象思维模式思考和技术探讨,自动化、性能、安全测试实施者,感谢关注!
04-17 7331
参考https://open.weixin.qq.com/cgi-bin/showdocument?action=dir_list&t=resource/res_list&verify=1&id=open1419317851&token=&lang=zh_CN 准备工作 移动应用微信登录是基于OAuth2.0协议标准构建的微信OAuth2.0授权登录系...
微信小程序登录.pptx
07-06
微信小程序登录流程详解 微信小程序登录微信官方提供的一种登录能力...微信小程序登录流程是一个非常重要的知识点,开发者需要充分理解和掌握微信小程序登录流程的每一个步骤,才能更好地实现用户登录和应用安全性
微信小程序之微信登陆-——-微信小程序教程系列(20)
2401_84148942的博客
04-20 477
由于本文罗列的知识点是根据我自身总结出来的,并且由于本人水平有限,无法全部提及,欢迎大神们能补充~将来我会对上面的知识点一个一个深入学习,也希望有童鞋跟我一起学习,一起进阶。提升架构认知不是一蹴而就的,它离不开刻意学习和思考。**这里,笔者分享一份从架构哲学的层面来剖析的视频及资料分享给大家,**梳理了多年的架构经验,筹备近1个月最新录制的,相信这份视频能给你带来不一样的启发、收获。,第一时间获取最新知识点Android架构师之路很漫长,一起共勉吧!
openid 安全吗?
weixin_33843947的博客
11-22 950
openid 是一个开放的SSO(单点登录)项目,他的作用主要是帮助用户通过一次登陆,实现在很多应用上的自动登陆。因为没有看到详细的技术实现资料,所以以下的推测也许有问题。 OPENID的协议,从openidenabled的资料翻译来看是这样一个流程:1、用户把自己的单点登陆域名(如:tenglong.sohu.com)提交给自己需要登陆的网站(如:blog.sohu.com...
SSO、OAuth2、JWT、CAS、OpenID、LDAP、RBAC
summer_fish的专栏
11-08 4538
单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统要实现SSO,需要构建以下两个主要内容:OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限。
给产品经理讲技术:微信openid和unionid
qq1192010412的博客
09-19 6348
很想写这样的一篇扫盲贴,刚好利用端午小长假的时间,学堂君跟大家来聊聊微信openid和unionid 。 无论是产品经理、还是H5前端工程师、客户端前端开发人员、后端开发人员,只要进行微信开发就会跟openid和unionid打交道。特别是openid。 有些时候,我们在微信里面玩一些H5小游戏或者是进行相关操作的时候,会出现下面的这个界面。这个界面是微信提供给企业开发授权的页面。 是
微信公众号如何授权登录、获取用户信息(openid)
victoyr的博客
04-28 1万+
首先看一下实现的效果,在公众号中,用户进入你的应用之前,会弹出一个授权页面,当用户点击确认后,你就可以获取用户的信息 首先访问微信测试号登录页面,通过打开自己手机的微信,扫一扫登录 https://mp.weixin.qq.com/debug/cgi-bin/sandbox?t=sandbox/login 进入到测试号页面后,分别看到如下信息 【测试号信息】 appID:开发者ID,是公众号开...
微信开发获取openid中遇到的坑
xpisme
04-13 1万+
1:微信后台设置授权回调页面域名 注意不要加http:// 2:去微信授权回调的url列如:https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=http://test.ceshi.com&response_type=code&scope=snsapi_base&state=STATE#w
微信openid的生成规则研究
热门推荐
wyx100的专栏
09-26 3万+
微信openid的生成规则研究
微信open_id
qvanminpiao的博客
11-03 1327
开发十年,就只剩下这套架构体系了! >>>    ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值