首頁猿問 APP如何安全的第三方登錄

APP如何安全的第三方登錄

安全

POPMUISE 2018-10-05 14:18:46

最近在做APP的QQ登錄，搭建好了之后，能夠獲取openid和token。一開始準(zhǔn)備直接提交openid 去查詢。發(fā)現(xiàn)這樣有個問題，一旦openid被泄露，是不可更改的，所以想請教大家如何安全的傳送到服務(wù)器認(rèn)證呢

查看完整描述

1 回答

拉莫斯之舞

TA貢獻(xiàn)1820條經(jīng)驗獲得超10個贊

首先！首先！請一定不要直接提交OpenId到服務(wù)器，新浪已經(jīng)警告過此事，直接傳遞OpenId一旦遭遇中間者攻擊，意味著攻擊者可以模擬你整個用戶系統(tǒng)中任何一個也是用此第三方登錄的用戶進(jìn)行登錄，其破壞性是災(zāi)難的。

其次。請傳遞AccessToken到后端服務(wù)器，再由后端服務(wù)器調(diào)取第三方接口獲取OpenId和其他信息，即使AccessToken被他人劫持，攻擊者也是無法調(diào)取第三方接口的，因為調(diào)取接口時不但需要AccessToken，還需要SecretKey，而SecretKey不會放在客戶端，所以基本沒有泄漏風(fēng)險。