从微信授权登录到数据安全性的思考总结

最新推荐文章于 2024-05-11 16:52:30 发布
VIP文章 最新推荐文章于 2024-05-11 16:52:30 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 整理总结 文章标签: 移动开发 后端 openid 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RoxyJ/article/details/105468695
版权

前置知识:微信授权登录过程和相关名词,access_token、code、openid等;

微信授权登录,大都是拉起微信授权页面,用户同意授权后,再跳到自己应用的绑定手机页面进行绑定手机的操作,绑定之后自动登录,会话就像不会过期一样,或者是过期以后再次点一次授权按钮即可。不用像以前一样,每次都用密码或验证码登录,让用户再做繁琐的登录操作。
如果是已经绑定,则没有红圈里面的步骤.png

如图,第一次微信授权还好,因为没有绑定,所以需要手机验证码来确保是本人授权绑定的。但是已经绑定的,就要直接做无感登录。那么问题就来了,不用频繁的验证码和密码,不用和用户产生交互,怎么保障绑定后的无感登录不是伪装的?首先看无感登录需要元素:手机号和微信用户标识openid。手机号肯定是暴露在外的,那如果openid也暴露的话,所有知道用户手机号和openid的人都可以登录,是不安全的。确保openid不暴露,可以有以下的操作:
(1)可以对其进行RSA加密传输,到后台再解密;
(2)微信回调返回code,直接作为无感登录入参,传到后台,在后台加上appId和appSerect获取openid;

那么延申到其他恒定的、交互频密的、有关登录

最低0.47元/天 解锁文章
null_从0到1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IOS实现微信授权登录功能
08-31
微信是一个在开发中经常会使用到的平台,比如微信登录授权、支付、分享。今天我们来看看如何在自己的应用里面集成微信授权,需要的朋友参考下吧
探密微信小程序开发中的OpenlD
tzddzdhz的博客
10-09 2648
说到微信小程序开发,我们不得不提到原生系统中自带的OPENiD,用户在跟公众号交互时,为了让程序识别用户的身份,需要有一个身份标识。出于对用户信息安全的考虑,保护用户隐私,微信没有暴露用户的微信号,而是对开发者提供OpenlD,它是一个由数字、大小写英文字母和下划线组成的28位字符串,可以将其理解为加密后的微信号。它的产生规则是:每个微信用户针对每个公众账号会产生一个OpenlD. 对于同一个开发者,可能会开发多个公众号以及移动应用,假如需要做到用户共通,则需要在微信开放平台中将这些公众号和移动应用绑定到同
微信小程序 获取用户信息(包括openId等敏感信息)
weixin_40362806的博客
03-09 1231
想来跟微信小程序也是有缘。 现在在公司主要负责起了小程序这块。 获取用户的基本信息 wx.getUserInfo(OBJECT)获取用户信息 wx.getUserInfo({ success: function(res) { var userInfo = res.userInfo //用户基本信息 var nickName = userInfo.nickName //用户名 var avatarUrl = userInfo.avatarUrl //头像链接 var g
微信登录授权
10-07
微信登录授权
C#微信授权登录源码
10-21
c#微信授权登录Demo源码 源码描述: C# 微信公众号授权登录,请在Global文件中配置好微信的appid以及AppSecret。 开发环境为Visual Studio 2010,数据库为SQL2012,使用.net 4.0开发。
逻辑漏洞渗透与攻防(六)之其他类型逻辑漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-08 827
漏洞介绍: 条件竞争是指一个系统的运行结果依赖于不受控制的事件的先后顺序。当这些不受控制的事件并没有按照开发者想要的方式运行时,就可能会出现bug。尤其在当前我们的系统中大量对资源进行共享,如果处理不当的话,就会产生条件竞争漏洞。件竞争涉及到的就是操作系统中所提到的进程或者线程同步的问题,当一个程序的运行的结果依赖于线程的顺序,处理不当就会发生条件竞争。漏洞介绍:通过数据包重放,可以造成短信轰炸、邮件轰炸、重复提交订单等。或者计算两次发送的时间间隔,时间过短就不继续发送了。修复思路(针对短信、邮件)
微信公众平台 绑定微信用户OpenID与第三方业务账号
810364804
07-30 1490
转自:http://www.abyssly.com/2013/09/20/wx_bind/(原作者的思路蛮清晰的,赞一个!) 最近由于工作需要,接触了微信公众号的开发。业务上要求绑定微信用户和系统用户,以便用户在一次绑定后能够通过系统用户的身份去使用一些功能。我关注的招行信用卡公众号实现了这个功能,所以估计还是可行的,在网上搜索了一下,发现这个问题没什么好的答案,很多都说取不到微信用...
微信小程序安全登录,必须先校验微信返回openid,确保信息唯一性。
PHP代码的博客
06-28 1020
微信小程序安全登录,必须先校验微信返回openid,确保信息唯一性。
抓取用户openid
weixin_34315485的博客
07-04 203
获取用户微信openid用户无感知情况下 传参为 appid appsecret 当前网址 session_name名称 <?php //获取微信的openid function get_wx_str($appid,$appsecret,$link,$session_name='') { if(empty($link)) { $link = ...
关于微信小程序开发用户openid保存session操作和重构wx.request整合promise
ccc的博客
04-15 1011
最近接了份外包,客户希望做个微信小程序,于是今天开始搭建的时候就想着怎么搭建方便以后使用,比如说我希望每个用户在登录了以后,每次向服务器发送请求时,让每个用户的请求都绑定自己的session,并且把自己独立的openid存放在session里面,这样服务器端就可以不用每次去传一个userid回去,而只需要通过去请求里获取就行。 java代码: @RequestMapping("/setSessi...
利用第三方SDK实现微信授权登录
09-02
利用第三方SDK实现微信授权登录 利用第三方SDK实现微信授权登录 利用第三方SDK实现微信授权登录 利用第三方SDK实现微信授权登录
微信登录授权用户信息数据
09-12
该代码首先是利用请求微信返回的code,带上注册时的appid,secret去微信请求session_key,再用这个钥匙去解密与code一同返回的加密数据和加密数据的加密算法的初始向量
手把手教你如何获取微信公众号用户的个人信息(包括OpenId)
热门推荐
Cs_hnu_scw的博客
01-19 16万+
最近,对微信公众号有点兴趣,就自己研究了研究里面的一些内容,发现还挺有意思的,而且通过微信公众号可以调用一些比较有意思的接口,就比如百度开发服务平台点击进入里面的很有接口,就比较常见的翻译,语音识别,地理位置等等,都挺好的。好了,不多说,进入正题好了。 我想,做微信公众号开发的,对于想获取关注了公众号的用户信息,或者说是当前与后台服务器进行交互的当前用户信息,这个功能是很重要...
安全课堂|关于小程序session_key泄露漏洞官方
mingyqf的博客
09-24 1779
为了保证数据安全,微信会对用户数据进行加密传输处理,所以小程序在获取微信侧提供的用户数据(如手机号)时,就需要进行相应的解密,这就会涉及到session_key,具体流程可参考。
微信小程序开发【知识点大全】
zik的博客
04-22 679
微信小程序开发重点知识点token 知识点 token 有些接口是可以公开访问的,有些是不允许公开访问的,所以要设置token进行区分验证。 token机制: 客户端获取一个code 通过code进行请求服务端的getToken接口(此接口会进行请求微信进行获取用户在微信的用户信息) 我们进行生成一个token(一个随机的字符串) 完成 token=>useinfo_wechat 的组合,然后进行返回给客户端token 以后客户端都携带token进行访问接口 首先验证token,符合的话就进行放行
微信网页获取openId,这些细节要注意。
a312983516的专栏
03-13 1188
最近在做一个简单的在网页获取用户openId的demo,本以为分分钟,可是。。。。 一起先数一下我躺下过的坑。 1、这个获取openId要区分好平台,目前有微信开放平台,还有微信公众平台,这两个平台获取的方式不一样,开放平台的另一个问题需要用户授权。 2、这个参数的顺序一定要一致,从百度搜索copy的一份代码,错了位置,导致报redirect_uri的地址与后台授权地址不一致
openid 安全吗?
weixin_33843947的博客
11-22 907
openid 是一个开放的SSO(单点登录)项目,他的作用主要是帮助用户通过一次登陆,实现在很多应用上的自动登陆。因为没有看到详细的技术实现资料,所以以下的推测也许有问题。 OPENID的协议,从openidenabled的资料翻译来看是这样一个流程:1、用户把自己的单点登陆域名(如:tenglong.sohu.com)提交给自己需要登陆的网站(如:blog.sohu.com...
【Android】Kotlin学习之Kotlin方法的声明和传参
最新发布
每天进步一点点, 靠近小目标一点点~
05-11 271
不需要构建实例对象, 可以通过类名直接访问静态方法 : NumUtil.double(1)
uniapp微信授权登录
06-06
微信授权登录是指用户在使用微信登录应用时,先使用微信账号授权,然后应用可以获取到用户的部分基本信息,如头像、昵称等。这种授权方式,在用户体验方面有很大的便利。Uniapp提供了完善的微信授权登录插件,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值