在给学校做一个小程序,请各位看看这个用户认证流程有问题吗?

2018-08-21 11:51:23 +08:00
 vansl

想实现的是所有操作都只和学校账号关联,但是为了避免随意登录他人账号,做了微信账号和学校账号的绑定,同时也能自动登录账号。请各位看看此流程是否存在问题?

2691 次点击
所在节点    问与答
13 条回复
3rdFaust
2018-08-21 12:31:43 +08:00
我也挺好奇,不知道应该从什么角度思考这类认证问题。比如这位同学要是换了一个微信怎么办?
vansl
2018-08-21 12:37:05 +08:00
@3rdFaust 换微信账号考虑到是小概率事件,所以打算通过发送邮件申请的方式,手动去解除 openId 和学校账号之间的关联。
cjw1115
2018-08-21 13:46:12 +08:00
图呢
octobersnow
2018-08-21 14:48:46 +08:00
首先,你怎么拿到有关学校账号权限???这个需要授权的。
vansl
2018-08-21 15:06:32 +08:00
@cjw1115 图已重新上传

@octobersnow 这个不是问题,本身即是学校内部的项目
cjw1115
2018-08-21 15:53:52 +08:00
根据我以前做我们学校助手的经验。
最大的问题,你怎么验证这名学生的学生账号呢?学校一般是没有这种接口的吧,简单的办法就是你让学生上传自己的学号密码,然后你自己在服务端去用他的账号和密码登陆学校相关页面,登陆成功就认为这个账号鉴权成功。但是这相当于学生的密码直接暴露给你了,如果你是个第三方,那有个信任问题。

当然,如果你能直接访问学校的数据库或者你就代表学校官方,那就不存在这个问题了。
icegreen
2018-08-21 16:26:53 +08:00
没问题
b821025551b
2018-08-21 16:45:13 +08:00
前面都说了,是内部项目,授权认证什么的不用去考虑;
说到这个图里的流程,我觉得有一点没有考虑到,就是 token 的过期机制。不要认为本地有 token 就可以了,还要验证 token 是否有效;对应的业务场景为:多账号登录、修改密码、安全问题强制下线等。
zjb861107
2018-08-21 18:33:55 +08:00
不太了解你的详细需求哈,无责任推荐腾讯微校,毕竟官方出品
panpanpan
2018-08-21 18:38:00 +08:00
@cjw1115 oauth 啊,第三方登录不都是跳转到官方的页面上去登录吗
nciyuan
2018-08-21 19:05:31 +08:00
请 lz 注意一下鉴权,万一有人想各种尝试,请主机一定要后端判断 UA 字符串有没有 MiniProgram (好像 m 是不大写的,自己抓包试试吧),注意安全,Redis 记得设置密码,签发 Token 最好带个一次性的有效期,尽可能退出后既失效,微信第一次请求有对话框,后续只要不删微信就没有,直接可以 OAuth 获取信息,服务器前后端分离,就酱
night98
2018-08-21 21:11:32 +08:00
不用 token,每次请求拿到 openid 查一下数据库有没有就行了,当然用也没事,token 设计还是比较麻烦的。
cjw1115
2018-08-21 21:45:55 +08:00
@panpanpan 讲道理,学校不会给你提供 Oauth 的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/481749

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX