当前位置 & &
& 手机丢失后 别以为有密码钱就安全
手机丢失后 别以为有密码钱就安全
09:44:07&&出处：&&作者：贾浩
编辑：刘艺 &&)
让小伙伴们也看看：
阅读更多：
好文共享：
文章观点支持
文章价值打分
当前文章打分0 分，共有0人打分
[08-01][08-01][07-31][07-31][07-31][07-31][07-31][07-31][07-31][07-31]
登录驱动之家
没有帐号？
用合作网站帐户直接登录app登录浅析 - 简书
app登录浅析
1.登录方式
（1）登录方式
一般有以下几种登录方式
传统的账号密码登录，如下面的知乎账号/密码 登录，账号可以是邮箱，手机号或者账户名
手机验证码登录，如下面的今日头条手机验证码登录
812786ce-b10c-42b1-84db-1b1c26b4f480.jpg
第三方登录，如下面的额知乎日报，上面的今日头条也一样
还有一些新型的登录方式，比如图案锁，指纹，语音验证，虹膜扫描等等，这些都是在client进行验证，或者是一种变种的账号密码形式，在这里不作讨论。`为表述方便，分别使用 账密，验证码和第三方来表述上面三种登录方式。
（2）登录方式的大概流程
账密：用户在client输入账号密码，发送到server端，server端进行database验证，如果验证通过则该用户认证成功，否则认证失败
验证码：用户输入手机号，并且点击获取验证码，server产生随机验证码并打上过期时间，通过SMS传输给用户，client输入该验证码，传到server进行判断
第三方：第三方相对复杂一点，client需要先到第三方网站或者APP进行授权，授权后跳转到server，server通过code码获取到相应的access_token，然后通过access_token获得这个用户在这个第三方的基本信息。
（3）登录方式的优缺点以及适用场景
账密：安全性相对较高，需要用户输入保护信息。使用场景较广，一般的应用都能够适用。
验证码：优点是便捷，缺点是安全系数相对较低，手机丢失即账号丢失，一般用在验证不是非常严密的应用，比如新闻资讯，地图这种获取咨询的app或者一些即用即关的一些应用，比如滴滴，货拉拉这种app，（注：内部支付有另外的验证）。
第三方：优点同样是便捷，比手机号还要便捷，都不需要输入验证码。安全性需要依托第三方的可信度。不过现在微信，微博等第三方的登录还是相对比较安全的。使用范围相对较广。便捷性方面不定，需要依托第三方的便捷性，比如微信就是需要安装微信的app，而有些第三方登录会跳转到该第三方的登录网站中，使用账号密码登录。所以安全性方面需要看第三方了，像微信这样的直接点击确定登录肯定没有输入第三方账号密码安全。综合来讲第三方登录安全性不差，便捷性较高，另外不用注册新的账号密码，在现在的登录方式中非常普遍。
2.认证(Authentication)
首先普及两个知识点：
a.认证(Authentication)和授权(Authorization)。借用别人的一个例子，你要登陆论坛，输入用户名张三，密码1234，密码正确，证明你张三确实是张三，这就是 authentication；再一check用户张三是个版主，所以有权限加精删别人帖，这就是 authorization。
b.token：token就是令牌的意思。为什么client中使用token代替cookie/session呢？token去掉了服务器端的状态保持，扩展性更好，不需要在服务器进行存储，只需要验证就好。
（1）账密认证
b1b31c5f-d4ad-44b4-ae2a-4a.png
Client指的是移动终端，Application指的是应用服务器。
账密的认证很简单，数据库验证下就行。
注意：密码一般都会使用MD5进行hash下
（2）验证码认证
7a677b0f-fe50-48a1-b75c-cbdfb4e1fd31.png
比账号密码多了步产生验证码的过程，并且匹配一般在缓存数据库（如memcache或者redis）中进行，验证是需要验证过期时间。
（3）第三方认证
对于说使用友盟和shareSDK的同学，这篇文章不是讲怎么做，而是表述一些我在APP登录方面的一些见解，以及原理剖析。
为了描述清楚，使用微信作为代表（事先需要到各个第三方网站注册自己的server Application）
48b94db0-b693-45e5-a5ba-fad463fb43d6.png
步骤如下：
1.client点击微信图标登录，带上Application ID和scope，这些都是在你注册Application的时候可以看到的
2.微信SDK会调用本地接口，打开微信的授权页，如下：
0.20629.png
3.点击确定登录，微信server验证用户，然后会redirect to 你的Application server，带上code码
4.code码的有效期很短，需要立即使用code码用API从微信server换取access_token等验证数据
5.application获取到token后就能将这些数据存储到数据库，（数据库具体格式后面会有介绍）。并且通过access_token从微信server拿到用户的一些基本信息，比如头像，昵称等等。
6.有些应用不允许单独社交账号存在，必须绑定手机号码/密码，因此对于不同的业务，不同的场景各自去做。这其实也是一大块，手机号码的绑定，解绑，注册，第三方账号的绑定解绑，绑定到另外的手机号，密码找回，是否用手机号为主账号，等等等等一系列的业务逻辑，各个公司各个产品因为安全性能要求和设计不同，表现形式也是多种多样。在这里不做详细的探讨了，有兴趣的同学可以自己去梳理梳理。
7.application server产生自己的access_token，返回给client，client进行用户数据的访问和API的调用。
关于微信的第三方登录流程具体的可以去 中的-&资源中心-&移动应用-&微信登录功能。其他的平台都差不多。
Client始终没有拿到第三方的token，是因为client获取第三方数据完全可以通过server中转，这样就避免将token暴露给Client，这样第三方中用户的数据也会更加安全
3.授权(Authorization)
对于不同的登录方式会有不同的认证过程，但是授权就需要进行统一管理。
授权的关键点在于怎么产生一个好的access_token让client进行数据访问。oAuth2是一个很好的解决方案，JWT（JSON Web Token）是目前比较流行也比较安全的一种token产生和验证机制。
当然也可以自己产生token,一般使用"时间戳+UserGuid+椒盐噪声"然后非对称加密，传输给Client。JWT是一种更加规范，更加安全的Token的生成和校验方式。
授权过程：
（1）认证成功后，得到或者生成UserGuid（用户的唯一id码，同一个账户的不同登录方式拥有同一个UserGuid），然后通过JWT生成token，token中包含UserGuid，token过期时间等等。
（2）将JWT token传送给client，client收到后保存下来。之后在向服务器请求数据时带在Header上
（3）服务器收到client的请求，然后使用中间件进行JWT拆分，得到其中的token过期时间，UserId以及其他一些Claims。根据其中的Claim进行身份校验，这里不同的server有不同的操作。
注意：1.JWT token是明文传输的，可以通过base64url_decode获得其中的Claims信息，因此不要将敏感信息放进去
2.JWT的安全：因为JWT的第三部分是通过HS256加密的，所以client不能够通过Claims进行仿造token，这样会导致在server校验不通过。但是如果整个token被盗取了就没有办法了，毕竟这个tokn是所有请求权限的令牌。当然也可以通过在token中添加设备码等信息进一步加强其安全性。
3.token过期刷新问题：如果server检查到client的token过期，就会返回401错误。而一般的token设置有效期不长，总不能每次过期就重新登录吧。有两个解决方案。一是在在有效时间，比如在时间到达有效时间的3/4时，就开始向客户端推送新的token，最极端的做法是每次请求都换token，这样安全性高，但是太费server资源，并且在高并发情况下会有旧的请求被否决的情况。还有一种方案，就是在过期时间外再设定一个刷新时间期限的Claim，这个时间设定长一些，跟OAuth2中的refresh_token相似。当检测到token过期时，查看刷新时间过期没有，如果没有过期，则重新生成JWT token返回给client。
4.server端数据库设计
用户登录模块在数据库模块也需要好好设计，不能因为每添加一种第三方认证就修改数据库表。
（1）用户基本信息表User
用户基本信息表包含一些用户基本信息，主键是用户的UserGuid，是唯一的。
（2）用户验证表User_auths
identity_type
credential
isFirstParty
accountName
accountPwMD5
access_token & refresh_token
access_token & refresh_token
用户验证表，包含用户的各种登录方式，对列名解释：primaryKey:主键，唯一。UserGuid:用户唯一标识，在表中不唯一。identity_type:登录方式。identify：该方式的账户名或ID。isFirstParty:是否是第一方登录。credential：对于第一方是密码，对于第三方是access_token和refresh_token。
很多现在的APP第三方登录成功获得用户基本资料后便丢弃第三方的access_token和refresh_token，其实如果为了真正的安全，还是需要保存下来，每次自动登录后通过第三方access_token和refresh_token来更新用户信息以及验证用户是否是真实身份。
UserGuid不唯一，可能有多个账号对应同一个UserGuid（第三方绑定到电话账号等等）。使用isFirstParty来标注是否是第一方，对于有些应用email/phone/accout的密码是同一个，修改的话就需要同时修改，需要通过标志位来定位这些第一方账号。
Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具（例如配置管理，服务发现，断路器，智能路由，微代理，控制总线）。分布式系统的协调导致了样板模式, 使用Spring Cloud开发人员可以快速地支持实现这些模式的服务和应用程序。他们将在任何分布式...
这篇文章介绍了Mobile BI(移动商务智能)使用过程中涉及的各种身份认证的方式，主要目的是对这些方式的原理进行理解，略少涉及这些原理在Mobile BI中的具体实现。 文章的具体内容包括：序言, IServer Authentication, Mobile Server...
构建用户管理微服务翻译自:https://springuni.com 构建用户管理微服务（一）：定义领域模型和 REST API 在《构建用户管理微服务》的第一部分中，我们会定义应用的需求，初始的领域模型和供前端使用的 REST API。 我们首先定义用户注册和管理用户的故...
今天的文章介绍一种适用于restful+json的API认证方法，这个方法是基于jwt，并且加入了一些从oauth2.0借鉴的改良。 1. 常见的几种实现认证的方法 首先要明白，认证和鉴权是不同的。认证是判定用户的合法性，鉴权是判定用户的权限级别是否可执行后续操作。这里所讲...
OAuth2.0协议了解 OAuth的应用了解 OAuth（开放授权）是一个开放标准，允许用户让第三方应用访问该用户在某一网站上存储的私密的资源（如照片，视频，联系人列表），而无需将用户名和密码提供给第三方应用。比如现在有很多网站应用到OAuth2.0协议(第三方登录),我...
曾在一篇文章中看到过类似的一句话：女儿是上帝给男人的一种特别的福利。当然，这种福利不是每一个男人都拥有的，也不是每一个人拥有的男人能真正体会到的。作为拥有这种特别福利的我，真心地感受到这种福利的美好。 然而，美好的东西总是显得珍贵，也总是害怕丢失。虽然女儿尚小，但我心头偶尔...
伪女主：苏慕 伪女配：沐雪 男主：exo 其他身份.... 男配名字没想好，等我想好在说 你们也可以帮我想想 嘻嘻
=八岁，本是暮离国君的弋修之父被弋修的叔父所杀害，弋修随母亲逃亡到蜀夏投奔舅舅，师从夏朝太宰(半师)。结识了住同一条街上的杜蘅(太宰之女，五岁，好动，不受父宠爱)。 九岁， 十岁，秘密回国，联系已故父君旧部 十一岁，俞弦取得弋修叔父的信任，全得以在全国范围内推行贩盐令。 十...
朋友们，大家好！“熟读唐诗三百首，不会吟诗也会吟。”今天跟大家分享李白这四首《子夜吴歌》中最著名的一首《秋歌》： 长安一片月，万户捣衣声。 秋风吹不尽，总是玉关情。 何日平胡虏，良人罢远征。 在古人心中啊，每个季节都有每个季节的风物，也都有每个季节的风情。春天的风物是采桑，...
朋友圈满屏的母亲节刷屏照片和文字，中午老公饭前还说了句：差点忘了，今天是母亲节，跑去跟婆婆说妈节日快乐。婆婆说难怪今天看到很多人买花了。我赶紧把房间里刚买的一束花拿出来给老公，让他送给婆婆。老公说不用，来点实际的。我把花给大宝，大宝立马跑进厨房，奶奶节日快乐，送花给你。 二...我想问下为什么我的手机微博客户端现在每次登陆都要重新输入账号和密码呢
全部答案（共4个回答）
就会记录你的帐号密码
你换微博密码吧
每次进微博都要重新输账号密码，如果是网页的话，可能是清理了缓存造成的。可以勾选记住密码，不清理缓存试试的。【亲，麻烦给点个好评的话呀，谢谢了！】
1、如果您的手机丢失，无法正常使用微盾，请您尽快对丢失的手机进行补卡，补卡后重新安装微盾，并进行初始化，初始化完毕之后绑定微博帐号，即可正常使用；
是不是你重新设置系统了或是用360清理垃圾了
这是你设置了安全验证的原因，你可以进入设置，进行修改
答: 你好,如果是这种的话大概也就是4斤多的,这样的话也要测量你的腹围的。
答: 网络和软件都很不错的 还可以根据你自己的情况来选择 如果你英语和高数不错的话 可以学软件 如果都不是很理想的话 可以选择网络啊 我认为网络还是不错的 网络工程师...
答: 用代IP的QQ就可以看
大家还关注
Copyright &
Corporation, All Rights Reserved
确定举报此问题
举报原因(必选)：
广告或垃圾信息
激进时政或意识形态话题
不雅词句或人身攻击
侵犯他人隐私
其它违法和不良信息
报告，这不是个问题
报告原因(必选)：
这不是个问题
这个问题分类似乎错了
这个不是我熟悉的地区
相关问答：123456789101112131415643被浏览221,722分享邀请回答906 条评论分享收藏感谢收起403 条评论分享收藏感谢收起}