使用Token作为凭证,从App免登陆跳转到Web是否足够安全?

最新推荐文章于 2024-08-15 09:00:00 发布
最新推荐文章于 2024-08-15 09:00:00 发布
阅读量4.2k 收藏 5
点赞数

我们有一个App,可以通过用户名密码登录我们的服务器。

现在我们有一个需求,就是从app里面打开网站的一个链接。这个链接是需要登录才能打开的。由于我们的app已经登录了服务器,因此我们想从app里面打开这个链接时,不再让用户又登录一次。

我们参考了OAuth机制做了下面的方案,但是不知道:

  1. 是否够安全?
  2. 把认证和授权分开来是否过度设计?
  3. 这个方案如果用在客户端上,也就是说客户端获得access token以后,就可以凭access token访问服务器资源,是否够全安?

请大神指教!

图片描述

说明:
(1) 使用HTTPS保护明文传送的密码或者密码的哈希码;
(2) Request Token存活时间很短;
(4) Access Token存活时间由各个业务系统定

补充一个典型流程的详细描述:
我把流程描述得细一点。
(1) 客户端App使用HTTPS GET,链接“认证服务器”,提交用户ID和密码(明文);
(2) 认证服务器验证用户ID和密码正确,生成一个32位的随机字符串作为Request Token,返回给客户端App,并在认证服务器中把Request Token关联到用户ID;
(3) 客户端使用HTTP GET链接到“授权服务器”,提交Request Token;
(4) (5) (6) 授权服务器拿Request Token到“认证服务器”查询,如果查到了userId,则生成一个Access Token,对应到UserId,并返回给客户端App,同时要求“认证服务器”销毁Request Token;如果Request Token超过5分钟没有被使用,会自动被删除;
(7) (8) 客户端App打开手机App浏览器,用浏览器向网站发起一个HTTP GET 请求,用Access Token做参数;
(9) (10) (11) 网站拿Access Token到授权服务器查找对应的UserId,如果找到了,则把浏览器请求的数据返回给浏览器;

2015.4.3更新:
我在知乎上看到 知友 @secloud 在这里 帮你深入理解OAuth2.0协议 提到一个 IAM 服务,说是比较适合客户端使用HTTP RESTful API去访问服务器资源的情况,可是我找了好久没有找到怎么实现IAM的资料。
倒是找到这篇:5 Keys To Web App Token Authentication ,讲怎么使用Token来做Web和App通用的用户身份认证。文中提到不能什么都往OAuth上靠,OAuth的应用场景,是第三方认证。如果云和端都是自有系统,就做简单的Token验证好了。我觉得这个结论挺靠谱的。

2015.4.3第二次更新
查了一些资料,觉得上面的结构不对。
1. OAuth 2.0 - Authorization Code Grant和Implict Grant类型适用于第三方认证,不符合我们的应用场景,即我们的客户端是自有的、可信的。应该适用OAuth 2.0 - Client Credentials Grant模型
2. 客户端使用Request Token去换取Access Token的过程多余,不会增加任何安全性,反而增加复杂度;
因此,所谓的“授权服务器”可以去掉。
其实,JSON Web Token (JWT) 是专门为兼容Web和Mobile App身份认证设计的,目前正在进入OAuth 2.0草案,和OAuth 2.0 - Client Credentials Grant模型相比,JWT通过对token进行加密或者签名,还规定了用户身份信息的数据结构。未来如果我们有更高的安全性和性能方面的需要,再考虑。
参考:
http://tools.ietf.org/html/rfc6749
https://tools.ietf.org/html/draft-ietf-oauth-json-web-token-32
https://auth0.com/blog/2014/01/07/angularjs-authentication-with-cookie...
https://auth0.com/blog/2014/01/27/ten-things-you-should-know-about-tok...
http://alexbilbie.com/2013/02/a-guide-to-oauth-2-grants/

默认排序 时间排序

2 个回答

1
采纳
我是宅男小何 338  4月1日 回答

个人认为授权服务器是多余的,client游览需要登录的页面,直接把token通过cookie,传给网站后台服务器,网站后台服务器拿到token去认证服务器验证,验证成功就返回页面内容,验证失败就返回未登录。

0
暗夜的怒吼 1  4月2日 回答

挺好的,Request Token是长时间保存的,Access Token是一次性的是吧?

追寻北极
关注
uniapp - 最新详细实现Google谷歌授权登录配置流程及示例代码教程,前端H5第三方网站调用谷歌登陆获取用户头像及邮箱用户信息数据,国内web站点接入google开发者平台账号登录(详细代码)
王佳斌
07-26 4124
uni-app,h5,网页,移动端页面,网站,google,谷歌,授权登录,OAuth2.0,详细教程,进不去官网,使用gmail邮箱登录,已获授权的重定向URI,接口报错403,重定向地址,不跳转,出错,网路无法连接,无法访问此网站,uniapp谷歌登录,uniapp 对接谷歌第三方登录,网站接入第三方谷歌登陆,最新谷歌快捷登录,前端,Google账户登录功能,手机网站接入谷歌账号登录,登录报错,重定向不生效,UniApp项目H5本地调试,网站打不开,进不去,uniapp纯前端做登录,对接谷歌第三方登录,
模块化封装 --- 双ToKen 实现登录步骤详解
xieyuleisss的博客
08-22 1280
本文大概配置了下 双token登录 /** * 封装 axios 请求模块 */ import axios from 'axios' import jsonBig from 'json-bigint' import store from '@/store' import router from '@/router' // 导入路由模块 // 配置公共请求头 const request = axios.create({ baseURL: 'xxxxxx/', // 基础路径 transfor
H5中统一获取从app跳转webtoken;判断从原生app跳转还是h5页面之跳转
XMCYD的博客
09-14 589
一、统一获取token并在全局保存,不需要在每个页面中再通过route.query.token获取。三、 用于设置native和web通信的桥接对象webViewJavascriptBridge。二、判断从哪个客户端跳转过来web端。
通过Cookie以及Token实现十天内登录
最新发布
qq_51321722的博客
08-15 831
在现代Web应用中,为了提升用户体验,经常需要实现登录功能,即用户在一定时内访问网站时无需重复登录。这通常可以通过结合使用Cookie和Token来实现。本文将详细介绍如何利用这两种技术实现十天内登录的功能。
用cookie,token实现登陆
weixin_45656577的博客
04-04 3101
1.打开chrome浏览器,F12-Application-Storage-Cookies-找到对应的cookie(至少需要name,value) import time from selenium import webdriver import json driver = webdriver.Chrome() # 要先访问一次这个域名 driver.get("http://https://w...
vue项目用户登录逻辑(一个项目跳转另一个项目指定页面,无需输入账号密码登陆
qq_51196135的博客
04-25 1万+
背景:在一些项目中,可能会需要打通两个平台之的权限,即为用户在当前项目,想要通过某个button或者链接跳转到另一个项目(简称从A跳到B)的制定路由页面,那么根据一般情况,用户会被另一个项目阻拦在登陆页面,进行登陆,所以我们需要改一下B项目的登陆逻辑------通常来说:我们在登陆页面会通过点击button并携带账号密码给后端发请求,后端验证账号密码正确返回一个token,此时浏览器存入token就可以进入项目,由于此项目需要打通两个平台,所以我们可以将B项目的登陆逻辑这样处理:用户在从A项目的某个but
APP中用户带状态跳出到WEB页面
weixin_33729196的博客
04-06 338
2019独角兽企业重金招聘Python工程师标准>>> ...
web安全详解(渗透测试基础)
热门推荐
sunnygao的博客
11-20 2万+
文章目录一、Web基础知识1.http协议2.网络三种架构及特点3. Web应用的特点4.URL组成6.Http协议的性质7.请求响应报文的格式8.请求方法9.http缓存10.缓存新鲜度如何判断11.Http重定向原理以及状态码12.HTTPS协议 数字证书13.HTTPS协议与HTTP协议的区别?14. Web客户端的作用15.Web服务端作用16.集群环境的作用17.什么是Cookie,Cookie的作用。18.Cookie 的类型19.session的作用和原理Session的原理Session的两
VUE实现token登录
qq_35445243的博客
04-03 657
VUE实现token操作全过程
微信小程序使用uni-app开发小程序及部分功能实现详解心得
Fang2001131919的博客
06-19 4638
uni-app 是一个使用 Vue.js (opens new window) 开发所有前端应用的框架,开发者编写一套代码,可发布到iOS、Android、Web(响应式)、以及各种小程序(微信/支付宝/百度/头条/飞书/QQ/快手/钉钉/淘宝)、快应用等多个平台;到此这篇关于微信小程序使用uni-app开发小程序及部分功能实现的文章就介绍到这了,更多相关微信小程序用uni-app开发小程序内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
Vue3 - 最新详细实现网站接入Google谷歌授权登录配置流程及示例代码教程,手机移动端、pc电脑网站调用谷歌登陆获取用户头像及邮箱用户信息数据,vue项目国内web站点集成google账号登录!
王佳斌
07-27 4257
vue3,nuxt3,google,谷歌,授权登录,OAuth2.0,网页,详细教程,进不去官网,使用gmail邮箱登录,已获授权的重定向URI,接口报错403,手机网站接入谷歌账号登录,重定向地址,不跳转,出错,网路无法连接,无法访问此网站,vue3谷歌登录,vue3对接谷歌第三方登录,网站接入第三方谷歌登陆,最新谷歌快捷登录,前端,Google账户登录功能,可以不用后端吗,vue3实现Google Apple三方登录,登录报错,重定向不生效,vue3项目本地调试,网站打不开,进不去,纯前端做登录,对接谷
两个系统跳转实现登录
m0_61289694的博客
05-09 3880
两个系统跳转实现登录
Vue实现密登录跳转的方式
hbmern的博客
07-11 3961
首先,我们要明确一个点,系统中所有的操作都要携带Token去发送请求,而登录一般是获取Token的来源,点击url实现跳转,并不意味着,不需要登录,只是我们在点击url的过程中,去帮助用户去做登录跳转的操作。通过判断isFreeLogin==1去判断是否登录,如果登录,则通过固定的账号、密码或者是在url中携带账号、密码(不安全)。然后抓取url中的参数,调登录接口,实现跳转。方案二:通过后端去处理。点击url的时候,给后端发一个请求,让后端返回登录账号信息,然后前端调用登录接口,实现页面跳转
vue 前端 用iframe实现单点登录两个不同域名Vue项目相互跳转并且传递Token
coldriversnow的专栏
06-25 1023
在公司的业务系统中,往往会有多个系统,并且这几个系统对应的都是同一个登录接口。次次登录对于公司用户体验肯定是不好的,对于后端上请求登录接口的频率也会增多。所以就有了这个单点登录:多个系统使用同一个登录接口,只需要登录一次就可以使得多个系统登进入。
记录一种ssh旧系统和前后端分离新系统结合的解决方案,以及两系统通过token进行认证的方式
weixin_42300551的博客
10-17 1198
一、背景介绍 公司现有一个ssh框架的旧系统,想要转型使用前后端分离vue+springboot的新框架。由于一些原因,无法完全转型,所以考虑新增的业务需求,使用在旧系统中嵌套新系统页面的方式,之后新需求就可以完全使用前后端分离的新框架了。 二、解决方案 用户登录旧系统,展示的菜单是按照新系统开发的前端工程,然后页面上所有操作都与springboot工程接口通信。springboot系统与旧ssh系统操作同一数据库。 三、登录认证 此方案分为ssh系统、v...
单点登录:两个不同域名Vue项目相互跳转并且传递Token
qq_54065476的博客
04-07 3379
前端实现SSO
webapp用户身份认证方案 JSON WEB TOKEN 实现
liao1990的专栏
07-24 1157
webapp用户身份认证方案 JSON WEB TOKEN 实现Deme示例,Java版 本项目依赖于下面jar包: nimbus-jose-jwt-4.13.1.jar (一款开源的成熟的JSON WEB TOKEN 解决方法,本仓库的代码是对其的进一步封装) json-smart-2.0-RC2.jar和asm-1.0-RC1.jar (依赖jar包,主要用于JSONObject序列化)...
APP使用token和refreshToken实现接口身份认证,保持登录状态
E=mc²
07-08 1万+
目录 一.问题 二.实现思路 三.遇到的坑 1.同一用户并发刷新Token 2.服务端已经产生了新的Token后,但并发过来的请求还在用老的Token请求数据 四.附件 一.问题 App 安装后,第一次启动时需要登录(在某些页面提示需要登录或者直接启动在登录界面)。而只要登录成功后,就不需要每次启动时再次登录。不过,当你的 App 长期未启动,再次启动时,就需要登录。这个是怎么实...
uni-app前端登录
08-03
### 回答1: uni-app 是一个使用 Vue.js 开发跨平台应用的框架。在 uni-app 中实现前端登录功能,通常有以下几种方式: 1. 使用 uni.login() 方法获取微信小程序的登录凭证 code,然后将 code 发送给后端服务器,由服务器使用 code 换取 openid 和 session_key。 2. 在前端页面中使用表单提交用户名和密码到服务器,由服务器验证用户名和密码并返回 token。 3. 使用第三方登录服务,如微信登录、QQ 登录、微博登录等。 具体实现方式取决于你的业务需求和服务端的接口。 ### 回答2: uni-app是一种基于Vue.js的跨平台开发框架,可以一次编写代码,同时生成可以运行在多个平台(iOS、Android、Web等)上的应用程序。下面是一个基本的uni-app前端登录示例。 1. 创建登录页面:在uni-app中,可以使用Vue的模板语法来创建登录页面,包括输入用户名和密码的表单,以及登录按钮。 2. 数据绑定:使用Vue的双向数据绑定,将输入框中的用户名和密码与页面的数据进行绑定,以便可以在登录时获取用户输入的值。 3. 发起登录请求:当用户点击登录按钮时,可以通过uni-app提供的API发起登录请求,将用户名和密码作为参数传递给后端接口。 4. 处理登录结果:根据后端接口返回的数据进行处理,可以使用异步回调函数或者Promise等方式进行处理。根据登录结果,可以给出相应的提示信息,如登录成功或登录失败。 5. 登录成功后的操作:如果登录成功,可以进行一些额外的操作,比如跳转到首页、保存用户登录状态等。 6. 错误处理:如果登录失败,可以给出相应的提示信息,如用户名或密码错误等。 7. 表单验证:可以添加一些简单的前端表单验证,如判断用户名和密码是否为空,输入是否符合要求等。 总结:以上是一个简单的uni-app前端登录流程,通过创建登录页面、数据绑定、发起登录请求、处理登录结果、登录成功后的操作以及错误处理等步骤,实现了一个基本的前端登录功能。当然,具体的实现还可以根据实际需求进行扩展和优化。 ### 回答3: uni-app是一个跨平台的开发框架,可以同时开发iOS、Android和H5应用。实现前端登录功能,我们可以借助uni-app提供的一些工具和技术来完成。 首先,我们需要创建一个登录页面,包括用户名和密码的输入框以及登录按钮。用户输入用户名和密码后,点击登录按钮可以触发相应的登录事件。 在uni-app中,我们可以使用Vue.js来处理用户输入和点击事件。可以在data中定义一个对象,用于保存用户名和密码的值。然后,使用v-model指令将输入框的值与data中的对象绑定起来,这样用户在输入框中输入的内容会自动同步到对应的data对象中。 当用户点击登录按钮时,可以通过调用uni-app提供的API发送登录请求到后端服务器。可以使用uni.request方法发送HTTP请求,并传递用户名和密码作为请求参数。可以在请求成功的回调函数中进行相应的处理,比如保存用户的登录状态等。 在前端登录过程中,还可以使用uni-app提供的拦截器(interceptor)来处理用户的登录状态。在每次请求发送前,可以通过拦截器判断用户是否已登录,如果未登录则跳转到登录页面进行认证,否则继续发送请求。 此外,为了提高用户体验和安全性,还可以使用uni-app的本地存储功能来保存用户的登录状态和登录凭证。可以使用uni.setStorage方法将用户的登录信息保存到本地存储中,并使用uni.getStorage方法从本地存储中获取用户的登录信息。 总的来说,uni-app前端登录需要创建登录页面,处理用户输入和点击事件,发送登录请求到后端服务器,并根据返回结果判断登录是否成功。同时,还需要使用拦截器来处理用户的登录状态,以及使用本地存储来保存登录信息。通过这些步骤,我们就可以实现uni-app前端登录功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值