手机app(android)用第三方登录后,获得唯一的一个uid标识,然后app通过类似 http://www.xxx.com/login?uid=3424234 这个url来将uid传递到服务端,查看数据库中有无这个uid,然后根据uid 在数据库查询有没有绑定的账号在做进一步的操作。
但这样的话很不安全,由于app很容易被反编译(或直接抓包),那个url很容易被获取,获取后就可以尝试替换各种uid进行登录了,尤其是新浪的uid,类似24856215,太容易被替换了。
有没有什么安全点的方法?
(另:accessToken的值是不是过期了不会变,改了相关平台的密码才会改变?)
Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
3
965
收藏
直接传递 uid 是很不安全的,应该传递的是 access token。
以新浪微博为例,应该把 access token 发给服务器,在服务器使用 account/get_uid 获得用户真正 uid,并完成登录。
另,access token 可能会变(不知道现在超时时间是多久,反正不是永久),所以需要每次启动应用的时候都要去登录才行。