问题:
想做一个统一的用户授权管理中心,使第三方的app、网站可以接入这个管理中心的账户体系。
有点类似某些应用可以点微博注册成网站会员,然后点击微博登录就行,不用再到该网站申请一个帐号。
我们提供给第三方接入方案,(我们的)用户授权后,我们允许用户在第三方应用上登录。另外,后续想对权限进行比较细致的管理。
为了安全起见,相对用户登录行为的验证做细致一点,防止用户信息被篡改造成损失。
另外,系统可能不会走SSL
方案1:
使用oauth2.0:
手机客户端打开用户认证服务器登录网页,登陆后截取返回的code,手机客户端拿code上传给后端,后端通过code到认证服务器拿到access_token,再获取用户信息返回给手机客户端。(参照的http://blog.csdn.net/seccloud...)
感觉这样比较安全,比较什么有价值的信息都没有暴露给客户端,但是每次登录后端都要请求两次api才能拿到用户信息,资源开销比较大。
方案2:
手机客户端通过一套定制的SDK登录(SDK继承了到认证服务器登录的全部逻辑),登录成功后SDK会把关键用户信息(ID)和会话过程产生的唯一ID返回给客户端作为登录依据,
客户端把这些信息上传给后端,后端再请求认证服务器,如果认证服务器证实这个用户登陆有效就可以算是有效的会话了。
登陆进去拉取用户信息等操作可以再行处理,对于不需要额信息的客户端来说非常节约资源。
这样的话后端验证很简单,
担心的问题是密钥和用来验证的其他用户信息被窃听截取后,攻击者抢先登录,造成用户损失
没有做过类似的系统,大家帮忙看看我的思路有没有问题?这些方案有哪些漏洞?有没有更合理的方案?
434
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
