在 SegmentFault，学习技能、解决问题
每个月，我们帮助 1000 万的开发者解决各种各样的技术问题。并助力他们在技术能力、职业生涯、影响力上获得提升。
问题对人有帮助，内容完整，我也想知道答案
问题没有实际价值，缺少关键内容，没有改进余地
手机app(android)用第三方登录后，获得唯一的一个uid标识，然后app通过类似 http://www.xxx.com/login?uid=3424234 这个url来将uid传递到服务端，查看数据库中有无这个uid，然后根据uid 在数据库查询有没有绑定的账号在做进一步的操作。
但这样的话很不安全，由于app很容易被反编译（或直接抓包），那个url很容易被获取，获取后就可以尝试替换各种uid进行登录了，尤其是新浪的uid,类似，太容易被替换了。
有没有什么安全点的方法？
（另：accessToken的值是不是过期了不会变，改了相关平台的密码才会改变？）
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
你可以试试，能不能这样暴力猜出来（猜自己的帐号吧）。有可能人家设计的{uid}是一次性接口，只是为了用于获取access token，调用一次之后在调用不行了。如果真的可以多次猜的话就是app设计上的问题了，至少也应该把{uid}设计的复杂一些。
access token能在客户端得到的话就尽量少保存在服务端了，减少你的app和你的服务端之间通信过程暴露access token的风险。
OAuth2.0的都类似，access token有时间限制，就新浪微博而言，access token的超时和应用的级别有关，测试: 1天, 普通: 7天, 高级: 15天, 合作: 30天。
另外一般会有获取access token信息的接口，新浪的是oauth2/get_token_info，没必要每次打开应用都重新登陆，而且一般access token超时之后也只需要通过refresh token接口就能更换新令牌。
分享到微博？
关闭理由：
删除理由：
忽略理由：
推广（招聘、广告、SEO 等）方面的内容
与已有问题重复（请编辑该提问指向已有相同问题）
答非所问，不符合答题要求
宜作评论而非答案
带有人身攻击、辱骂、仇恨等违反条款的内容
无法获得确切结果的问题
非开发直接相关的问题
非技术提问的讨论型问题
其他原因（请补充说明）
我要该，理由是：
在 SegmentFault，学习技能、解决问题
每个月，我们帮助 1000 万的开发者解决各种各样的技术问题。并助力他们在技术能力、职业生涯、影响力上获得提升。微信客户端授权登录开始邀请第三方应用内测了，我们虽然是个创业团队，但很幸运的成为了该功能的早期内测用户，经过半年多的试用，积累了不少的经验和教训，分享出来，希望对大家有所帮助。 微信授权登录的优势有哪些？1. 数亿微信用户直接登录， 免去繁琐注册流程。2. 支持获取用户基本信息，免去用户填写个人资料的烦恼，并且内容真实可靠。 一个iOS应用使用微信授权登录的过程应该是怎样的？申请微信授权登录&微信sdk接入&多应用账号打通&提交AppStore审核&上线 为什么提交AppStore审核也列入了这个过程？因为这里坑最多，我们一开始缺乏经验，足足在这步浪费了差不多两个月的宝贵时间！ 下面，我们就按照这个过程，逐一进行介绍。 第一步：申请微信授权登录 微信授权登录的申请条件？只要应用已经获得了微信支付的权限，就可以提交申请。 具体怎么申请，官方有很详细的介绍，这也不是本文的重点，所以就直接略过了。附上微信开放平台的地址：https://open.weixin.qq.com/ 在这里要重点指出的是：1. 客户端的授权登录是在微信开放平台申请的。2. web端的授权登录除了要在微信开放平台申请外，还要申请微信公众平台的服务号并完成认证，获取高级接口的访问权限。修正：微信的伙伴们反馈了最新的进展，web端的授权登录现在可以不用公众号了。 第二步：微信sdk接入 如果你的申请被通过，会得到一个包含有微信授权登录的SDK包，这个包同时也包含了基础的分享功能。具体的接入方法，微信会在SDK包中提供详细的说明文档，按照文档进行接入即可。 在这里要重点指出的是：1. 授权成功后返回的OpenID仅仅是应用内唯一标识，同一用户在不同应用进行授权，返回的OpenID是不一样的！2. 即使是同一个应用，同一个用户在移动应用授权登录和在web应用授权登录，返回的OpenID也是不一样的！ OpenID都不一样，那我的产品是一系列应用，想统一账号怎么办？别急，继续往下看，微信已经提供了解决方案的。 第三步：多应用打账号打通 如果你们的产品是一个系列应用，又或者同时有移动应用和web应用，那么按照微信的规定，每个应用都必须在开放平台进行登记和审核（需要绑定包名，所以不能多个应用使用同一个签名），这也就意味着这些应用每个都是独立的应用！前面说过，这样会导致这一系列应用当用户授权后，返回的OpenID都不一样，无法唯一标识用户！这时就需要使用UnionID机制来解决这个问题。 UnionID使用规则如下：1. 同一个授权用户，在同一个开放平台账号下的应用中进行授权，返回的UnionID是相同的。2. 同一个授权用户，在绑定到同一个开放平台账号下的公众账号进行授权，返回的UnionID是相同的。这下多应用账户打通的问题就彻底的解决了吧！ 第四步：提交AppStore审核 本来不该写这个环节的，因为这个环节貌似跟微信授权登录没什么关系，但其实这里才是本文最最最重要的地方，这里真的是坑多且深啊，我们足足在这里耗了两个月左右... 当我们[第一次]满心欢喜的以国内少数几个（现在我怀疑就是第一个！）仅支持微信授权登录应用的姿态，把应用提交到AppStore审核两周后，得到了我们的第一个拒绝通过的审核理由：你们的微信登录按钮点了没反应！ 微信登录按钮为什么会没反应？我们可是经过了充分的测试了呀！特别是微信授权登录流程，更是测的不能更细致了！最后我们发现，这个登录按钮如果想没反应，那一定要做一件事情：卸载微信！好吧，是我们的问题，作为一个创业团队，没有配专职的测试人员，测试经验不足，遗漏了这一步，让苹果大神您测出来了，我们认了！ 我们立刻为微信登录按钮添加了微信是否安装的检测，如果检测到微信没有安装，那我们就弹出对一个提示框，提示用户要去下载微信，而且提示框还提供了直接跳到AppStore下载微信的按钮，我们甚至还贴心的添加了英文版的提示框（因为AppStore拒绝我们通过的理由中的截图是英文版的系统）。 这下我们信心满满的[第二次]向AppStore提交审核，差不多两周后得到了我们的第二个拒绝通过的审核理由：你们应用设置了太高的门槛，必须要安装微信才能登录和使用你们的应用！你们要么使用自己的用户授权认证系统，要么让你们目前的登录不需要安装微信就可以使用。 我们郁闷，我们不服，我们去申诉：我们使用微信授权登录是为了提供更好的，是为了避免用户输入个人资料的繁琐过程呀！ 申诉结果在五天后反馈到了我们：我们仔细阅读了你们的申诉内容，但是还是认为你们应用设置了太高的门槛，必须要安装微信才能登录和使用你们的应用！你们要么使用自己的授权认证系统，要么让你们目前的登录不需要安装微信就可以使用。 好吧，我们屈服了，我们作为一个创业团队，无法让微信授权登录的sdk在未安装微信的时候，可以跳转到web页面进行授权，我们只好用了两天时间开发了基于手机号和验证码的注册登录系统，开始[第三次]向AppStroe提交审核。这次的审核用了一周多的时间，审核的速度是快起来了，可是还是悲剧了！理由甚至都没变：你们应用设置了太高的门槛，必须要安装微信才能登录和使用你们的应用！你们要么使用自己的用户授权认证系统，要么让你们目前的登录不需要安装微信就可以使用。 这次我们彻底愤怒了，增加了那么明显的手机号验证码授权登录界面啊，审核大哥你不可能没看到啊，居然还用同样的理由拒绝我们，太过分了吧！这次我们使用了更为强烈的措辞进行了申诉，申诉结果在提交后的第四天得到了反馈：我们注意到了你们已经提供了自己的用户授权认证系统，但是你们使用的微信授权登录设置了太高的门槛，必须要安装微信才能登录和使用你们的应用！你们要么使用自己的用户授权认证系统，要么让你们目前的登录不需要安装微信就可以使用。 当时我们都无语了，审核大哥你要不要做的这么绝啊！我们当时甚至萌生了要不索性把微信授权登录去掉，换成微博授权登录念头！最终，我们决定做最后一次尝试，就是应用在登录的时候，主动检测微信是否有安装，如果没有安装的话，直接把微信的授权登录按钮隐藏掉，只保留我们自己的注册登录功能！这是我们[第四次]向AppStore提交审核，心里剩下的只有忐忑......六天后，审核通过了！审核终于通过了！喜极而泣啊！ 回想整个应用提交AppStore审核过程，耗时近乎两个月，从世界杯前硬生生被拖到世界杯彻底结束，我们的应用是个专注宵夜应用啊，世界杯过了，我们的推广难了n倍啊！希望大家看了我们的经历，能够吸取教训，不要重蹈我们的覆辙! 以上就是我们应用使用微信授权登录提交AppStore审核的过程。
24小时报不停
苏宁牵手碧桂园 年内600家苏宁店入驻碧桂园物业
Uber CEO：自动驾驶汽车还是个学生 要继续学习
百合佳缘2017年营收6.71亿，净利润6499万元
“412挂马风暴”来袭，超50款知名软件受影响
王兴在摩拜内部大会称不裁员，有信心保持并扩大优势
未因贾跃亭受影响：睿驰汽车广州拿地资格过审
腾讯微视接入王卡免流，还享QQ加速特权
阿里云发布区块链解决方案，支持天猫奢侈品正品溯源
腾讯将于4月23日发布首款区块链游戏
路透：华平投资拟参与蚂蚁金服至少80亿美元融资
特斯拉指责Model X车祸丧生司机存在过错，试图撇清关系
美图发声明称与“马来西亚MBI国际集团”无任何合作关系
云计算公司Zuora确定IPO价格为14美元，估值14.4亿
消息称沃尔玛接近收购印度电商巨头Flipkart多数股权
musical.ly问鼎德法应用排行榜
中信银行完成投资易到持股18%，将开展金融出行合作
富士康母公司鸿海Q1营收353亿美元，同比增长5.22%
滴滴外卖将再开9个城市，全国开城在即
腾讯微视跟进抖音暂停评论功能：因评论区出现大量不相干内容
流量矿石团队发声明：快播未参与过区块链+视频项目
中国联通发布通告，正式开始关闭2G网络
米雯娟：VIPKID暂无上市计划 在线教育还是蓝海
传WeWork斥资4亿美元收购联合办公公司裸心社
地平线机器人发布本地人工智能摄像机，正进行B轮融资
长安汽车拟与腾讯设合资公司，年内发布车联网产品
智能音箱普及率3个月内暴增50%，亚马逊谷歌成大赢家
刘强东：京东便利店今年年底计划每天开1000家
传拼多多筹资逾30亿美元：估值150亿美元，腾讯参投
全国“扫黄打非”办公室召集18家互联网公司相关负责人，严明监管要求
王小川：以长跑心态看待搜狗运营，无计划进军区块链是时候，换个姿势关注TA
关注 功能升级，收割　TA 的最新动态
扫我下载最新九游APP
查看: 7156|回复: 15
最后登录积分35362精华0帖子
本帖最后由
10:36 编辑
服务端接口
注意SDK服务端请求地址已更新（原旧地址目前仍可使用，与新地址并存，但建议游戏更新地址，旧地址可能后续会生效）
登录验证地址：
更换为：测试环境： 正式环境：（原旧地址：
测试环境： 正式环境：）
扩展数据接口地址：
测试环境：正式环境：（原旧地址：
测试环境：正式环境：）
1、登录会话验证接口(account.verifySession)1) 用户唯一标识是什么，能否直接获取用户的uc账号
游戏使用登录验证返回的账号标识accountId为用户唯一标识，现在SDK服务器不直接返回uc账号，如需查询accountId对应的uc账号，请联系九游运营人员
2) 如何获取用户的账号标识accountId
SDK客户端登录成功后，游戏客户端通过getsid()方法获取SDK客户端的sid，发送给游戏服务器，游戏服务器使用此sid进行服务端接口调用，即可获取账号标示及昵称，随后游戏服务器向游戏客户端发送账号标示及昵称即可。（注：游戏客户端无法直接从SDK客户端获取账号标示）
详细流程可见接入文档“02-技术文档-SDK总体机制\UC游戏_SDK_开发参考说明书_总体机制_vX.X.X.pdf”。(注：X.X.X为版本号）
3) 客户端登录成功，但获取用户账号信息时返回“code:11，用户未登录”
返回用户未登录的原因，一般是指当前请求的sid在当前请求地址所属的sid找不到，可能原因：
1、客户端生成的sid与当前服务器请求环境非同一个环境，请检查环境是否一致：
测试环境：客户端初始化：debugMode=true/服务端请求地址：
正式环境：客户端初始化：debugMode=false/服务端请求地址：
2、使用的sid为模拟参数，并且真实的sid，必须用真实的sid才能验证
3、客户端使用的gameId，与服务端请求使用的gameId不一致
4、如使用封装好的语言接口版本，联调环境验证登录时，有时返回成功，有时返回“code:11 未登录“，因封装的接口版本内有智能线路切换功能，如检测到线路访问有超时，会智能切换到正常的IP上，而这IP为正式环境的，故会返回用户未登录，请忽略此问题，游戏接完后切换到正式环境不影响正常使用
4) 获取用户信息的时候返回“code:10,游戏信息配置错误 ”
请检查请求串内使用的gameId是否为九游分配的参数
5) 获取用户信息的时候返回“code:99,系统繁忙请稍后再试”
一般出现该返回内容说明请求串SDK服务器无法处理，可能原因是当前发送的请求串，服务器解析异常，请检查当前使用的请求串是否为标准的json格式，及请求格式是否与SDK接入文档示例一样,如游戏使用JAVA/PHP/C#语言，请使用九游已封装好接口版本调用
6) 获取用户信息的时候返回“code:178,调用的接口类型错误,请联系九游接入组同学”
因服务端接口2014年11月底做过修改，在此日期后创建的游戏默认走新接口，原来使用旧接口serivce“ucid.user.sidInfo”更改为新接口“account.verifySession”，请游戏检查
1、新游戏默认走“account.verifySession”，如果调用使用“ucid.user.sidInfo”改更正
2、客户端使用的gameId与服务端请求使用的gameId不同，且客户端使用的gameId为2014年11月前创建的游戏
7） 获取用户信息的时候返回“code:10,请求校验的数据非本游戏生成，权限受限
客户端使用的gameId与服务端请求验证用的gameId不同同一个，请确保使用相同的参数调试
8) 获取用户信息的时候返回“code:10,无效的请求数据,校验签名失败”
1、sign拼接组成是否为“sid=sid值+apikey值”，并且需要用小写
2、检查游戏客户端与服务器请求串中使用的gameId\apikey参数是否为九游分配的参数
9）SDK有封装好语言的接口版本，与游戏自己实现请求有什么不同，应该用哪个好
SDK提供java/php/c#语言封装好的接口版本供游戏直接调用，便于游戏接入，且接口内增加智能线路切换，假如游戏访问SDK某台服务器线路有异常时，能智能切换到线路访问正常的IP上，如果游戏自行接入的，出现问题时就比较被动，需要自行切换路线，建议条件允许的情况下，游戏优先选择我们封装的接口版本调用，如游戏使用的语言SDK无提供封装接口，请联系技术接口人说明，我们会尽快安排实现
2、扩展数据接口(ucid.game.gameData）（注：与客户端submitExtendData为同一接口，任选一接入，其它详见客户端接口说明）
常见问题（FAQ)请到这里查看：
3、充值回调接口
1）充值成功后，服务器收不到回调信息
收不到回调地址，联调环境请查看联调工具订单回调日志，正式环境请在开放平台-合同与财务-订单查询详情处检查订单回调信息，可能原因有以下几点
1、订单返回”查询不到用户的统一账户信息“，则说明游戏登录后没有先调用account.verifySession验证账号信息，要求验证登录会话成功后再充值
否则订单查不到账号标识，则不回调游戏服务器
2、订单传递的回调地址不正常，如后台配置正确，请检查是否在客户端传递了其它回调地址
3、通知返回异常信息，如500、未知的主机地址或time out之类的，请检查当前配置的回调地址访问是否正常，如无法判断，建议使用SDK请求的回调信息在本地模拟请求post到回调地址上，看看接收是否正常
2）接收到充值收到的回调信息内容为空
回调异步信息是通过“把结果json串放在http的body里，post给游戏的回调结果地址”这样的形式来进行通知，接收到空数据一般为游戏接收方法有问题，建议参考下DEMO实现，如
1、java先将http请求的body信息获取到，再将信息传入request参数中并进行方法调用。
2、php使用file_get_contents(&php://input&)接收
3）服务端接收到订单验证签名失败
请检查以下几点
1、sign拼接组成是否为“data内容（按字母升序排列）+apikey值”，并且需要用小写
2、检查游戏客户端与服务器请求串中使用的gameId\apikey参数是否正常
3、“cpOrdeId”字段如为空则不参与签名，其它字段不管是否为空均需参与签名
4、签名内容不应包含“&”符号，拼接签名内容时需把“&”符号剔除。字符
串中若有换行情况，也应把换行符（回车或换行）剔除。
4）客户端下单时传的金额与服务器接收到的回调信息内amount值不一致，应以哪个为准，如何处理金额不符的订单
以服务端接收的回调信息内金额为准，客户端下单时传递的金额可能被玩家使用第三方修改器或其它方式修改了充值金额，不能以此为准，如出现订单金额不符合时，建议按服务器接收到的回调信息内的金额下发游戏币，或不处理订单，如用户投诉再单独处理
5）服务器收到订单后怎么判断是充值成功
游戏需根据orderStatus参数的值判断是否给玩家过账虚拟货币。（S为充值成功、F为充值失败，避免假卡、无效卡充值成功）。
6）同一笔订单SDK服务器多次回调
游戏服务器收到的订单，不管orderStatus参数的值是“S”还是“F”，只要验证签名SIGN匹配正确，都必须返回SUCCESS给UC服务器，此处代表已经接收到UC服务器通知，不需继续通知的含义，否则UC服务器将把未按规定返回内容的订单进行重发，故会产生同一笔订单回调多次
7）订单接收失败或收到后判断为异常订单，应如何返回
接收异常或订单收到后处理失败，建议返回FAILURE，这样我们才能及时发现有异常订单，从而做相应的处理
8）如何自测返回的响应是否正确
联调环境，请使用调联工具，查看订单回调响应，只返回SUCCESS即正确
正式环境，请在开放平台-合同与财务-订单查询，输入测试的UC号或订单号，点击查询订单，通知状态为成功，即正确
最后登录积分124精华0帖子
, 经验 124, 距离下一级还需 76 经验
你好，想问一下 关于服务端的签名验证的问题
1.贵方返回的data参数中 除cpOrderId为空不参与验证外 其他的参数全部需要参与验证吗？
2.在参与的参数验证中，顺序是按照首字母升序排列吗？
3.签名只用md5加密就可以了吗？
望回复 谢谢
最后登录积分3897精华0帖子
, 经验 3897, 距离下一级还需 103 经验
<font color="#2875687 发表于
你好，想问一下 关于服务端的签名验证的问题
1.贵方返回的data参数中 除cpOrderId为空不参与验证外 其他的 ...
2、签名是按字母升序排列，参考接入文档
3、签名是采用MD5加密
最后登录积分334精华0帖子
, 经验 334, 距离下一级还需 66 经验
请问下，我登陆请求的正式接口，为什么报code:178,调用的接口类型错误,请联系九游接入组同学、？？我的gameid有什么问题吗
最后登录积分35362精华0帖子
<font color="# 发表于
请问下，我登陆请求的正式接口，为什么报code:178,调用的接口类型错误,请联系九游接入组同学、？？我的game ...
6) 获取用户信息的时候返回“code:178,调用的接口类型错误,请联系九游接入组同学”
因服务端接口2014年11月底做过修改，在此日期后创建的游戏默认走新接口，原来使用旧接口serivce“ucid.user.sidInfo”更改为新接口“account.verifySession”，请游戏检查
1、新游戏默认走“account.verifySession”，如果调用使用“ucid.user.sidInfo”改更正
2、客户端使用的gameId与服务端请求使用的gameId不同，且客户端使用的gameId为2014年11月前创建的游戏
最后登录积分94精华0帖子
, 经验 94, 距离下一级还需 106 经验
请问一下，我登录请求的是测试接口，但是返回错误信息是code&:99,&msg&:&系统繁忙，请稍后再试&，我仔细比对了请求http中的body与服务端说明文档的body是一样的，但是总是报这个问题，请问是什么情况？
最后登录积分334精华0帖子
, 经验 334, 距离下一级还需 66 经验
请问，我游戏包登陆测试环境，返回“content:{&id&:6,&state&:{&code&:41,&msg&:&系统繁忙，请稍后再试&,&desc&:&活动不存在&,&updateFreq&:12},&data&:{}},”这串，这是什么原因呢
最后登录积分35362精华0帖子
<font color="# 发表于
请问，我游戏包登陆测试环境，返回“content:{&id&:6,&state&:{&code&:41,&msg&:&系统繁忙，请 ...
这段日志不影响的，另联调环境已经准备下线，请切到正式环境测试
最后登录积分35362精华0帖子
<font color="# 发表于
请问一下，我登录请求的是测试接口，但是返回错误信息是code&:99,&msg&:&系统繁忙，请稍后再试&，我仔细比 ...
请提供下完整的请求日志、请求地址
最后登录积分64精华0帖子
, 经验 64, 距离下一级还需 136 经验
您好，请问服务端验证登录接口的gameId传的是开放平台生成的么？还是游戏厂商自己的或者登陆接口返回的？
安卓平台下载
苹果平台下载短信验证码接口如何解决被恶意盗用的问题？
我们的短信验证码，是通过ajax异步发送的，最近发现接口被人盗用了，估计是用于短信轰炸机了
请问，如何防范这个问题？
速达移动就不会出现这样的问题建议你使用S05GK产品
限定IP访问该接口
--- 共有 1 条评论 ---
这个防不住的，我们试了， IP不停的变，
一个IP24小时只能发送x条短信
--- 共有 1 条评论 ---
这是目前在用的方法，希望找到更好的
手机只能是绑定的手机
如果发送给其他手机，限制手机数量，短信数量
先注册，进行邮箱验证后，然后在发送手机验证码
引用来自“开源中国社区酱油哥”的评论先注册，进行邮箱验证后，然后在发送手机验证码根据用户或者ip来限制发送数量
--- 共有 2 条评论 ---
最简单的方法，页面加图形验证码，我们找了一家免费人机验证的，https://luosimao.com/service/captcha， 上了之后就防住了。
这样用户体验太差了，简化流程。基础业务可以不不补全这些
1.短信发送间隔设置——设置同一号码重复发送的时间间隔，一般设置为60-120秒
2.IP限定——根据自己的业务特点，设置每个IP每天的最大发送量
3.手机号码限定——根据业务特点，设置每个手机号码每天的最大发送量
4.流程限定——将手机短信验证和用户名密码设置分成两个步骤，用户在设置成功用户名密码后，下一步才进行手机短信验证，并且需要在获取第一步成功的回执之后才可进行校验。
5.绑定图型校验码——将图形校验码和手机验证码进行绑定，这样能比较有效的防止软件恶意注册。
——杭州图门云信
服务端绑定IP地址，前端设置图形校验码，基本上可以解决盗用和被刷。不建议加太多设置影响体验度。
川道短信验证码这一块做的不错，推荐下：
卡洛思短信验证码这方面提供相应的预防机制，可以参考下：
免费的人机验证 ，防止被刷，还蛮好用的游戏无法登陆显示“请调用kpsupersdk的接口”是什么意思？？？求解_百度知道
游戏无法登陆显示“请调用kpsupersdk的接口”是什么意思？？？求解
要怎么办呢？？才能登陆进去？
我有更好的答案
引入工程有时会缺失资源，可尝试将爱贝sdk工程复制处理：复制该工程中的libs文件夹和res文件夹中的所有资源文件到游戏工程中的对应名称目录。另外，调用爱贝接口的时请在Handler调用。包括初始化init接口和支付接口。
不好意思，这个我不懂，能否详细点?
为您推荐：
其他类似问题
&#xe675;换一换
回答问题，赢新手礼包&#xe6b9;
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。}