登录之社交登录

最新推荐文章于 2023-09-13 17:27:16 发布
最新推荐文章于 2023-09-13 17:27:16 发布
阅读量965 收藏 1
点赞数
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43088443/article/details/112684106
版权
本文详细介绍了QQ登录的原理与实现步骤,包括创建应用、配置回调域、登录流程、用户信息绑定和登录状态处理。同时,讨论了京东处理第三方登录返回路径的安全策略,以及如何防范CSRF攻击。在用户登录过程中,强调了数据安全和缓存管理的重要性,特别是对于新用户绑定已有账号的处理方法。最后,提到了如何生成和验证state参数来抵御CSRF攻击。
摘要由CSDN通过智能技术生成

1. QQ登录原理

当你点击登录页面的qq时候,就会跳转到腾讯,然后通过腾讯的验证后,会跳转到网站会调域(也就是一个网址),这就完成了网站的QQ登录。

2. QQ登录前期准备

2.1. 创建应用

在这里插入图片描述
在这里插入图片描述
登录QQ互联官网,必须审核通过才可以使用

在这里插入图片描述

2.2. 修改回调域并且配置本机host

我们在开发的时候,大部分都是在本地进行测试,那怎么才能访问指定的网站时候,映射到本地呢?

进入目录C:\Windows\System32\drivers\etc

在这里插入图片描述
使用命令行进行测试

在这里插入图片描述

3. QQ登录流程

在这里插入图片描述

  1. 用户点击网站中QQ登录,跳转到腾讯登录页面,然后用户进行扫码进行登录并且获取授权码

  2. 后台使用授权码获取token

  3. 使用token换取openId

  4. 使用openid和token换取用户信息

4. 接收回调参数,查询QQ信息,绑定用户的思路

思路1:

  1. 如果是老用户则直接通过openid查询用户信息,登录成功(通过):
  2. 如果openId不存在,则证明是新用户,让其绑定已有用户或者新注册一个
  3. 新用户,可以创建新账号,也可以绑定已有账号 (通过)

思路2:

  1. 必须先注册号账号,在个人中心绑定QQ

5. 用户登录

当用户使用QQ扫码登录后,为了保护数据库,先到缓存中通过openid查找用户信息,如果找到就说明是老用户,直接将用户对象返回即可。

如果在缓存中没有查找用户,就访问数据库,如果查到,就将对象存放到缓存中,然后返回对象,缓存数据结构为【qq:openid:userInfo】

jedis.setex("qq:" + openId + ":userInfo",60*60*24,JSON.toJSONString(user));

6. 当登录成功后,返回路径问题

网站使用了第三方社交登录,有qq,微信,微博等登录方式,无论哪种登录方式,当用户登录成功后,要回到原始路径,比如你点击了订单系统,然后被踢回到登录首页,登录成功时候,向认证中心要token,携带token到原始路径。

本网站登录的原始路径存放很简单,直接将返回的原始地址存放在页面上即可。
主要是第三方登录,登录成功后的返回路径问题

6.1. 京东对使用第三方进行登录的做法

  1. 在redirect_uri回调路径后面加上uuid推测,京东使用uuid在缓存中查询相应的return_url

  2. 为什么京东不直接采用拼接return_url参数呢,也许是怕黑客截取修改原始返回路径,修改成黑客自己的钓鱼网站。

  3. 使用uuid将return_url保存到缓存中,当用户登录成功时候,删除键值对

  4. 缓存中的数据结构为[user:returnUrl:uuid值]

// 使用键值对存储returnUrl,数据结构为k = user:returnUrl:uuid v = returnUrl值
returnUrlUUID = UUID.randomUUID().toString();

6.2. Bug解决

  如果采用上面的uuid方法(之前推论是错误的),当遇到不法分子,使用压力测试工具进行上万次访问你的登录首页时候,由于你的首页后台会生成一个uuid , 并以uuid:返回路径的格式存储到缓存中,导致缓存中会有大量的uuid:返回路径数据,而且我们是没法删除的。

6.3. 使用cookie存放原来路径

这回的做法如下:

  当用户访问登录首页的时候,我们只将返回路径存放到首页页面。
用户点击登录后,不直接跳转到腾讯登录页面,先跳转到网站后端并且携带ReturnUrl,然后在后台中进行请求转发,并且这时把ReturnUrl存放到Cookie中,当用户绑定成功后或者登录成功后,就删除相应的cookie。
如果Cookie中没有ReturnUrl就直接跳转到网站首页(有可能是用户删除了Cookie,或者已经过期)

注意:
  往浏览器写入cookie,必须是域名,可以设置本地解析,如果使用127.0.0.1,写入失败读取也会失败。比如http://127.0.0.1:8080,如果是这样的域名,是无法操作浏览器的cookie的,你需要进行本地映射成http://user.gmall.com:8080/,这样就可以了

7. 使用已有账号绑定QQ

  如果是新用户登录,会跳转到用户绑定页面,当绑定已有账户的时候,需要将accessToken和openId以及用户基本信息保存到数据库中,千万不能将accessToken和openId重要信息带入到页面中,要将accessToken和openId保存到缓存中,其他的也可以,只要不将其带入页面即可。

  将用户基本信息保存到缓存中,数据结构为 k-v = qq:uuid: qqloginInfo用户对象转为json字符串,默认6个小时就过期,当QQ绑定已有账号成功后就将其删除。

jedis.setex("qq:" + uuid + ":qqloginInfo" ,60*60*12 , JSON.toJSONString(user));

8. 生成并验证state属性,防止CSRF攻击

  使用uuid生成随机的state,然后跳转到腾讯并且带着这个值,当腾讯进行回调的时候,判断该值是否正确(从缓存中获取state)。

sgy_yuebin
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
社交登录 以gitee为例
weixin_49260963的博客
07-09 761
社交登录 以gitee为例
社交登录
qq_40857365的博客
03-24 1145
社交登录,是指用户可以使用微博、QQ、微信等社交媒体账号登录网站。从用户的角度来看,社交登录不仅可以省去注册账号的操作过程,也可以不用记忆账号和密码,网站接入社交登录功能是真的香。该如何接入社交登录呢?接入流程是怎样的呢?别急,且听我慢慢道来。 一、环境搭建 1. 申请微博登录接口 以微博登录为例,你首先需要到微博开放平台申请一个网页应,填写应哟用相关信息。 等待审核通过,就可以获得一个App Key和App Secret,你需要设置授权回调页的地址,现在你就可以使用微博登入接口了。 2 社交登录流程
社交登录整合
SuperstarSteven的博客
02-09 1276
1.社交登录介绍 1.用户在passport认证中心准备登录时可以点击第三方登录按钮跳转到 https://api.weibo.com/oauth2/authorize?client_id=YOUR_CLIENT_ID&response_type=code&redirect_uri=YOUR_REGISTERED_REDIRECT_URI 引导用户进入用户授权页面 2.用户授权...
社交登陆流程
weixin_44390164的博客
12-14 1057
1. 进入微博或微信开放平台 找到网站接入功能 申请自己的应用,并保存产生的app key 和app secret 填写授权回调页和取消授权回调页 2. 引导用户到社交登陆的地址 https://api.weibo.com/oauth2/authorize?client_id=你的客户端id&response_type=code&redi rect_uri=登陆成功后重定向的地址 当用户填写社交账户密码同意并授权后 微博会回调你当时填的授权回调页 http://www.gu
OAuth2.0 社交登录
CB_Beginner的博客
12-02 309
OAuth: OAuth(开放授权)是一个开放标准,允许用户授权第三方网站访问他们存储 在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们 数据的所有内容。 OAuth2.0:对于用户相关的 OpenAPI(例如获取用户信息,动态同步,照片,日志,分 享等),为了保护用户数据的安全和隐私,第三方网站访问用户数据前都需要显式的向 用户征求授权。 流程操作如下: ...
08 登录_社交登陆1
08-08
当用户点击社交登录按钮后,会被引导到对应的社交平台授权页面,用户同意授权后,社交平台会返回一个授权码(code)给请求的网站网站接着使用这个授权码向社交平台申请令牌(access token)。一旦获得令牌,网站就...
reauth:轻松进行社交登录
03-08
reAuth项目概括ReAuth是一个进行中的项目,旨在最大程度简化正在其应用程序中使用多个平台实施“社交登录”的开发人员的生活。 ReAuth鼓励采用oAuth 2.0协议和“社交登录”,同时不鼓励使用用户名/密码登录和凭据...
新浪开发之简单登陆源码
08-26
【新浪开发之简单登录源码】是一份专为学习者提供的源代码,旨在帮助开发者理解新浪平台登录功能的实现机制。这份源码可能是基于新浪开放平台API开发的,用于模拟用户登录过程,以便于开发者更好地理解和掌握相关...
SocmedLanding:社交媒体专区登陆页面
03-28
在IT行业中,网页设计是至关重要的一环,尤其是对于社交媒体平台来说,吸引用户的登录页面更是关键。"SocmedLanding"项目显然旨在创建一个专为社交媒体用户设计的登陆页面,其核心聚焦在用户体验和视觉吸引力上。在...
denglu.rar_Javascript界面_好看的tab登陆_登录界面_登陆
09-24
除了核心的登录功能,一个高质量的登录界面还会考虑其他方面,例如错误处理(显示无效输入或网络问题的提示)、记住密码功能、忘记密码链接、以及社交账号登录等。这些可以通过JavaScript库如jQuery或现代框架如...
社交登陆OAuth2.0
一个菜鸡的博客
02-11 704
QQ、微博、github 等网站的用户量非常大,别的网站为了简化自我网站的登陆与注册逻辑,引入社交登陆功能;步骤:1)、用户点击 QQ 按钮2)、引导跳转到 QQ 授权页3)、用户主动点击授权,跳回之前网页。
社交登录OAuth2.0
weixin_49385823的博客
02-27 444
社交登录OAuth2.0
社交登陆,分布式session,单点登陆,jwt
chenfl的博客
05-20 745
社交登陆,分布式session,单点登陆,jwt 一、社交登录 QQ、 微博、 github 等网站的用户量非常大, 别的网站为了简化自我网站的登陆与注册逻辑, 引入社交登陆功能; 步骤: 1) 、 用户点击 QQ 按钮 2) 、 引导跳转到 QQ 授权页 3) 、 用户主动点击授权, 跳回之前网页。 OAuth2.0 OAuth: OAuth(开放授权) 是一个开放标准, 允许用户授权第三方网站访问他们存储 在另外的服务提供者上的信息, 而不需要将用户名和密码提供给第三方网站或分享他们 数据的所有
浅谈多个社交账号的登录注册设计
新亮笔记
10-08 359
本篇文章,主要讲述了用户登录注册的逻辑及如何用社交账号登录。仅供参考,具体情况依据产品需求而定。开放平台有哪些?微信Sina微博QQ163360豆瓣淘宝Github开源中...
社交登录流程(第三方登录
最新发布
weixin_43741322的博客
09-13 133
社交登录流程(第三方登录
Spring Social实现QQ社交登录、注册
weixin_38927257的博客
11-19 907
文章目录第一章 OAuth协议简介1.1 OAuth协议要解决的问题是什么1.2 OAuth协议中的各种角色1.3 OAuth协议运行的流程1.3.1 授权码模式的特点第二章 Spring Social的基本原理第三章 实现QQ登陆实现的流程:3.1 Api3.1.1实现类QQImpl:3.1.2 实现类AbstractOAuth2ApiBinding:3.2 QQServiceProvider3...
请放下你的无效社交
YaoXTao的专栏
05-19 752
请放下你的无效社交
Spring Social实现QQ社交登录
一个有趣、有料、有内涵的地方!
08-20 295
社交登录又称作社会化登录(Social Login),是指网站的用户可以使用腾讯QQ、人人网、开心网、新浪微博、搜狐微博、腾讯微博、淘宝、豆瓣、MSN、Goog...
社交登录实现逻辑
文武傲群雄,彳亍定江山
09-16 189
一、实现逻辑 二、项目具体实现业务
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sgy_yuebin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值