零负担接入扫码登录

2019-12-24 08:50:59 +08:00
 hvboekml

安全登录

前言

最初是缘于自己的网站想要实现扫码登录,考虑过后决定用小程序来实现,其中的选择考虑就不赘述了。

自用了几个月,最近做了接入功能,然后开放出来,欢迎使用。

登录流程

借助微信,安全和便捷兼具

小程序

如果希望看演示的,请查看文档中的“谁在使用”,登录网站就能体验登录流程,注意,这不是完整的演示,网站用了其中一种方式,你也可以选择其他方式

文档

如果觉得有用,欢迎 star 收藏

https://github.com/secauth/docs

5760 次点击
所在节点    分享创造
21 条回复
bagel
2019-12-24 08:59:06 +08:00
不知道微信登录在 web 上是残次品吗?你说说用手机访问你网站怎么登录?
oh
2019-12-24 09:38:56 +08:00
别的不知道,这个小程序名称起得真好……
hvboekml
2019-12-24 09:48:50 +08:00
@bagel 用在 web 的,怪我没说哈
liangxunli
2019-12-24 11:21:49 +08:00
小程序名称起得真好
d5
2019-12-24 11:25:34 +08:00
hamibot 也是好东西啊,还加了作者微信
bagel
2019-12-24 13:14:16 +08:00
看了眼 hamibot,网站好评,简洁,大量留白。回过头来再看登录这个,设计挺好,文档也有,完成度不错的。

还是可惜了,因为其一微信 web 登录事实上就是 broken 状态;其二正常人不可能把自己的用户体系绑定到一个个人作品上面。作为产品的逻辑是不成立的。当然分享精神要赞扬。
hvboekml
2019-12-24 14:59:36 +08:00
@bagel 感谢你的认可,关于你说的情况,我做下说明:

1. 「微信 web 登录事实上就是 broken 状态」,这个不是微信官方的扫码登录,两者没有联系哦;

2. 「正常人不可能把自己的用户体系绑定到一个个人作品上面」,第三方登录貌似蛮多的吧,至于是个人作品,确实如此,我在开发之初考虑了稳定性,所以服务并不是部署在个人的服务器,而是使用腾讯云的云函数。
ivydom
2019-12-24 15:25:35 +08:00
推荐用 Authing 做小程序扫码登录,在 Authing 的 Public Cloud 上,更安全: https://docs.authing.cn/authing/advanced/wxapp-qrcode
体验:sample-sso.authing.cn 打开后点击「扫码登录」体验。
justin2018
2019-12-24 16:53:35 +08:00
@hvboekml 楼主 这个长期运营么 😁
hvboekml
2019-12-24 17:22:46 +08:00
@justin2018 零负担不仅对于开发者,对于我也是,同时自己也是使用者,有足够动机维护下去
hvboekml
2019-12-24 17:38:32 +08:00
@ivydom 你说的更安全,可以详细说下吗,望不吝赐教
dsnake1984
2019-12-24 20:10:40 +08:00
这应该是 脱离微信 第三方 更不可信任了
rizon
2019-12-24 20:19:35 +08:00
@bagel #1 说到这个我就想到最搞笑的,看视频的时候的时候好多广告都是扫描二维码,尼玛现在电脑看视频的有几个?我拿着手机看视频你让我扫描二维码。。。。

不过话说回来,这也是 iOS 的缺陷,安卓阵营的手机,很多都内置了直接识别屏幕上二维码的功能。。。
rizon
2019-12-24 20:23:30 +08:00
我用 hamibot 试了下,扫码后直接显示个贴图文字登陆成功,,,也不给授权就直接卖 token 了,,,这也就罢了

我没点确定,本来以为不会登陆,可过了似乎是半分钟? hamibot 还是悄悄的就登陆进去了,但是在你的 app 的设置-授权管理里面却是空的,没有 hamibot ?这是什么情况
rizon
2019-12-24 20:30:11 +08:00
@rizon #14 我猜测是,在我没有授权用户信息给你的 app 的时候你仍然可以用,但是关联不到个人的信息了
hvboekml
2019-12-24 21:06:15 +08:00
@rizon 很遗憾你猜错反向了,授权为空是因为本来就没请求授权,既然没有请求授权,那个人信息就无从谈起了。
hvboekml
2019-12-24 21:26:07 +08:00
@dsnake1984 首先微信对个人信息有控制,其次安全登录并不依赖个人信息
robinchina
2019-12-25 10:23:22 +08:00
是不是把小程序获取到的用户 openid 扔给网站就完事了?

如果这样,我觉得挺安全的啊,这 openid 又不是什么隐私···
hvboekml
2019-12-25 11:46:27 +08:00
@robinchina 是的,没错,而且进一步做了加密,完全不涉及隐私。
xiaoyanbot
2020-01-30 21:10:53 +08:00
很赞!!!!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/631713

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX