这是一个创建于 2279 天前的主题,其中的信息可能已经有所发展或是发生改变。
想实现的是所有操作都只和学校账号关联,但是为了避免随意登录他人账号,做了微信账号和学校账号的绑定,同时也能自动登录账号。请各位看看此流程是否存在问题?
第 1 条附言 · 2018-08-21 15:04:32 +08:00
 |
1
3rdFaust 2018-08-21 12:31:43 +08:00
我也挺好奇,不知道应该从什么角度思考这类认证问题。比如这位同学要是换了一个微信怎么办?
|
 |
2
vansl OP @3rdFaust 换微信账号考虑到是小概率事件,所以打算通过发送邮件申请的方式,手动去解除 openId 和学校账号之间的关联。
|
 |
3
cjw1115 2018-08-21 13:46:12 +08:00
图呢
|
 |
4
octobersnow 2018-08-21 14:48:46 +08:00 via iPhone
首先,你怎么拿到有关学校账号权限???这个需要授权的。
|
|
5
vansl OP |
|
6
cjw1115 2018-08-21 15:53:52 +08:00
根据我以前做我们学校助手的经验。
最大的问题,你怎么验证这名学生的学生账号呢?学校一般是没有这种接口的吧,简单的办法就是你让学生上传自己的学号密码,然后你自己在服务端去用他的账号和密码登陆学校相关页面,登陆成功就认为这个账号鉴权成功。但是这相当于学生的密码直接暴露给你了,如果你是个第三方,那有个信任问题。 当然,如果你能直接访问学校的数据库或者你就代表学校官方,那就不存在这个问题了。 |
 |
7
icegreen 2018-08-21 16:26:53 +08:00
没问题
|
 |
8
b821025551b 2018-08-21 16:45:13 +08:00
前面都说了,是内部项目,授权认证什么的不用去考虑;
说到这个图里的流程,我觉得有一点没有考虑到,就是 token 的过期机制。不要认为本地有 token 就可以了,还要验证 token 是否有效;对应的业务场景为:多账号登录、修改密码、安全问题强制下线等。 |
 |
9
zjb861107 2018-08-21 18:33:55 +08:00
不太了解你的详细需求哈,无责任推荐腾讯微校,毕竟官方出品
|
 |
11
nciyuan 2018-08-21 19:05:31 +08:00 via Android
请 lz 注意一下鉴权,万一有人想各种尝试,请主机一定要后端判断 UA 字符串有没有 MiniProgram (好像 m 是不大写的,自己抓包试试吧),注意安全,Redis 记得设置密码,签发 Token 最好带个一次性的有效期,尽可能退出后既失效,微信第一次请求有对话框,后续只要不删微信就没有,直接可以 OAuth 获取信息,服务器前后端分离,就酱
|
 |
12
night98 2018-08-21 21:11:32 +08:00
不用 token,每次请求拿到 openid 查一下数据库有没有就行了,当然用也没事,token 设计还是比较麻烦的。
|
Select Language