请教App中使用weibo等进行登陆验证的思路(类似啪啪)

2013-02-18 13:56:19 +08:00
 adow
有一个App,他需要调用我们的Web 服务器上的 Http 的Api,这个api要求是在用户在web服务器上登陆的,我们的服务器上有一份用户数据,原来我们使用http://www.a.com/api/logon/?username=abc&password=123来实现,然后返回一个授权凭证的cookie,之后的api只要带这个cookie就可以进行操作。这些和web开发是一样的。

我们现在想在App上使用weibo或者qq的第三方登陆验证(在app上完成),在确定完成weibo的授权验证之后,我们还是需要向我们的服务器进行一次登陆和授权吧,但是这时我们只有weibo的uid之类的而没有密码,所以向http://www.a.com/api/logon/?weibo-uid=123这样来给这个用户完成授权(没有的时候创建这个用户)。但是我如何保证这个过程不能被伪造呢,虽然我可以弄一个签名算法,但是这样肯定需要在App上保留这个签名算法和密钥吧,还是可以通过反向的方法找出来后自己伪造一个。

现在我实现是想不到有啥办法了,可能我一开始的思路就是错误的,只能来请教一下如何设计这个,谢谢。

我看到啪啪就是类似的实现啊,不知道他是如何做的。
3732 次点击
所在节点    iDev
1 条回复
fire5
2014-08-26 15:47:53 +08:00
去看看 OAuth2.0

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/60610

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX