研二
微信扫码原理
微信扫码登录的前提是用户的移动客户端已经登陆了账号并拿到了移动终端的token,这个token作为对用户身份的认证将在后续提供身份识别。
服务器向电脑端发送一个含电脑设备识别码的二维码,移动客户端扫码后将二维码信息和用户的token发送给服务端,相当于告诉服务端这个设备是“我”在登录。
服务器接收后发送一个临时token给移动客户端,相当于告诉移动客户端:这个桌面端的信息如下,是否确认?此时这个token只是临时token,因为需要用户确认才能真正用,在确认前这个token应当有什么识别信息标识这个token并不能当成真正的token使用(或者干脆就是内部的信息并没有包含全部需要认证的信息),否则攻击者将截获这个未认证的token并假冒用户登录。
客户确认后,即在移动客户端上点击“确认登录”按键,服务端会向桌面端真正发送一个可用token作为桌面端的识别码。这个识别码和移动端的token是主从关系,即移动端退出,桌面端也会随之退出。
token
token是在session上发展出来的一套用户机制。由于session需要在服务器储存用户的用户名和密码,并在用户登录的时候进行比较,非常不方便,所以token这种只需要服务端进行一次验签或者hmac验证的机制就产生了。token机制的核心在于用户名和密码以token的形式储存在用户端,每次用户需要调用服务端API的时候,不需要传输用户名和密码,只需要传输他们的替代品token便可以了,这样可以防止用户名和密码被泄漏。
GMT 0043 数字证书互操作检测规范
里面描述了CRL、数字证书、CSR、CTL合法性的检测规范。
270
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
