V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
vansl
V2EX  ›  问与答

在给学校做一个小程序,请各位看看这个用户认证流程有问题吗?

  •  
  •   vansl · 2018-08-21 11:51:23 +08:00 · 2497 次点击
    这是一个创建于 2046 天前的主题,其中的信息可能已经有所发展或是发生改变。

    流程 想实现的是所有操作都只和学校账号关联,但是为了避免随意登录他人账号,做了微信账号和学校账号的绑定,同时也能自动登录账号。请各位看看此流程是否存在问题?

    第 1 条附言  ·  2018-08-21 15:04:32 +08:00

    图

    13 条回复    2018-08-21 21:45:55 +08:00
    3rdFaust
        1
    3rdFaust  
       2018-08-21 12:31:43 +08:00
    我也挺好奇,不知道应该从什么角度思考这类认证问题。比如这位同学要是换了一个微信怎么办?
    vansl
        2
    vansl  
    OP
       2018-08-21 12:37:05 +08:00 via iPhone
    @3rdFaust 换微信账号考虑到是小概率事件,所以打算通过发送邮件申请的方式,手动去解除 openId 和学校账号之间的关联。
    cjw1115
        3
    cjw1115  
       2018-08-21 13:46:12 +08:00
    图呢
    octobersnow
        4
    octobersnow  
       2018-08-21 14:48:46 +08:00 via iPhone
    首先,你怎么拿到有关学校账号权限???这个需要授权的。
    vansl
        5
    vansl  
    OP
       2018-08-21 15:06:32 +08:00
    @cjw1115 图已重新上传

    @octobersnow 这个不是问题,本身即是学校内部的项目
    cjw1115
        6
    cjw1115  
       2018-08-21 15:53:52 +08:00
    根据我以前做我们学校助手的经验。
    最大的问题,你怎么验证这名学生的学生账号呢?学校一般是没有这种接口的吧,简单的办法就是你让学生上传自己的学号密码,然后你自己在服务端去用他的账号和密码登陆学校相关页面,登陆成功就认为这个账号鉴权成功。但是这相当于学生的密码直接暴露给你了,如果你是个第三方,那有个信任问题。

    当然,如果你能直接访问学校的数据库或者你就代表学校官方,那就不存在这个问题了。
    icegreen
        7
    icegreen  
       2018-08-21 16:26:53 +08:00
    没问题
    b821025551b
        8
    b821025551b  
       2018-08-21 16:45:13 +08:00
    前面都说了,是内部项目,授权认证什么的不用去考虑;
    说到这个图里的流程,我觉得有一点没有考虑到,就是 token 的过期机制。不要认为本地有 token 就可以了,还要验证 token 是否有效;对应的业务场景为:多账号登录、修改密码、安全问题强制下线等。
    zjb861107
        9
    zjb861107  
       2018-08-21 18:33:55 +08:00
    不太了解你的详细需求哈,无责任推荐腾讯微校,毕竟官方出品
    panpanpan
        10
    panpanpan  
       2018-08-21 18:38:00 +08:00 via iPhone
    @cjw1115 oauth 啊,第三方登录不都是跳转到官方的页面上去登录吗
    nciyuan
        11
    nciyuan  
       2018-08-21 19:05:31 +08:00 via Android
    请 lz 注意一下鉴权,万一有人想各种尝试,请主机一定要后端判断 UA 字符串有没有 MiniProgram (好像 m 是不大写的,自己抓包试试吧),注意安全,Redis 记得设置密码,签发 Token 最好带个一次性的有效期,尽可能退出后既失效,微信第一次请求有对话框,后续只要不删微信就没有,直接可以 OAuth 获取信息,服务器前后端分离,就酱
    night98
        12
    night98  
       2018-08-21 21:11:32 +08:00
    不用 token,每次请求拿到 openid 查一下数据库有没有就行了,当然用也没事,token 设计还是比较麻烦的。
    cjw1115
        13
    cjw1115  
       2018-08-21 21:45:55 +08:00 via Android
    @panpanpan 讲道理,学校不会给你提供 Oauth 的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1064 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 19:01 · PVG 03:01 · LAX 12:01 · JFK 15:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.