**
思路:
**
- 每个用户都拥有一个唯一的openid,一个用户对应一个session_id。
- (公众号扫码推事件)扫码,将这两个信息通过微信服务器发送到开发者服务器。
- 开发者服务器将信息存入缓存或数据库(存储格式:session_id => openid).
- 登录页面可以有一个定时器,定时去查询session_id对应的openid,查询到则登录成功!
**
存在的安全隐患
**
攻击者可以轻易获取用户的openid,从而模仿微信服务器,给开发者服务器发送模拟的登录请求。这个时候,开发者服务器做任何加密都无济于事(已经太迟了),用户就会有一定损失(用户非自愿登录)。
**
如何解决这个安全隐患?
**
核心思想:登录时,用户需要自行确认是本人,才可登录成功!
实现思路:
- 用户扫码时,不能信任微信服务器发过来的openid(因为可能会被攻击者伪造),应该引导用户进入微信网页授权页面获取openid。(这样就不会被攻击者伪造请求了,因为微信服务器请求,不被程序信任)
- 将授权后获得的openid和session_id,做存储。
- 登录页面定时查询!