想实现的是所有操作都只和学校账号关联,但是为了避免随意登录他人账号,做了微信账号和学校账号的绑定,同时也能自动登录账号。请各位看看此流程是否存在问题?
This topic created in 2820 days ago, the information mentioned may be changed or developed.
Supplement 1 Aug 21, 2018
 | 1 3rdFaust Aug 21, 2018 我也挺好奇,不知道应该从什么角度思考这类认证问题。比如这位同学要是换了一个微信怎么办? |
 | 2 vansl OP @3rdFaust 换微信账号考虑到是小概率事件,所以打算通过发送邮件申请的方式,手动去解除 openId 和学校账号之间的关联。 |
 | 3 cjw1115 Aug 21, 2018 图呢 |
 | 4 octobersnow Aug 21, 2018 via iPhone 首先,你怎么拿到有关学校账号权限???这个需要授权的。 |
| 5 vansl OP |
| 6 cjw1115 Aug 21, 2018 根据我以前做我们学校助手的经验。 最大的问题,你怎么验证这名学生的学生账号呢?学校一般是没有这种接口的吧,简单的办法就是你让学生上传自己的学号密码,然后你自己在服务端去用他的账号和密码登陆学校相关页面,登陆成功就认为这个账号鉴权成功。但是这相当于学生的密码直接暴露给你了,如果你是个第三方,那有个信任问题。 当然,如果你能直接访问学校的数据库或者你就代表学校官方,那就不存在这个问题了。 |
 | 7 icegreen Aug 21, 2018 没问题 |
 | 8 b821025551b Aug 21, 2018 前面都说了,是内部项目,授权认证什么的不用去考虑; 说到这个图里的流程,我觉得有一点没有考虑到,就是 token 的过期机制。不要认为本地有 token 就可以了,还要验证 token 是否有效;对应的业务场景为:多账号登录、修改密码、安全问题强制下线等。 |
 | 9 edsion996 Aug 21, 2018 不太了解你的详细需求哈,无责任推荐腾讯微校,毕竟官方出品 |
 | 11 nciyuan Aug 21, 2018 via Android 请 lz 注意一下鉴权,万一有人想各种尝试,请主机一定要后端判断 UA 字符串有没有 MiniProgram (好像 m 是不大写的,自己抓包试试吧),注意安全,Redis 记得设置密码,签发 Token 最好带个一次性的有效期,尽可能退出后既失效,微信第一次请求有对话框,后续只要不删微信就没有,直接可以 OAuth 获取信息,服务器前后端分离,就酱 |
 | 12 night98 Aug 21, 2018 不用 token,每次请求拿到 openid 查一下数据库有没有就行了,当然用也没事,token 设计还是比较麻烦的。 |
Select Language