目前,大型互联网公司提供并鼓励使用扫描登录功能。 由于扫描登录通过二维码在设备之间传递信息,因此用户可以使用安全可信任的设备(比如自己的手机)来控制不可信任的设备上的登录行为。 那个省位于不便手动输入的设备(比如电视)上输入的环节,所以更方便; 因为是避免了在安全等级低的设备和环境(比如公共电脑、Web页面)中输入密码,所以更安全。
代码扫描登录过程包括以下步骤:
非信用设备接入服务端生成token,并将token通过二维码展示在界面上; -显示二维码信用设备扫描非信用设备展示的二维码,获得token; -扫描二维码信用设备,使用token访问服务端,获取信用设备以外的设备信息,在画面上显示信用设备以外的设备信息。 请向用户确认。 -在确认了二维码用户通过信用设备进行了确认后,信用设备访问服务端,向服务端通知其token被用户确认为可以登录; -成功登录的非信用设备使用token登录。 由于不知道用户何时查看非信用设备,因此必须轮询服务器并尝试使用token登录,直到成功-要注意扫描登录的时效性的安全点包括:
所有接口的访问都是使用https-接口是httpstoken,有短的有效期,例如5分钟,一次有效,如果使用过则禁用-时效性过程的步骤4 必须,不能省略; -用户确认总结了以上两点,token为3,3358 www.Sina.com /,因此在流程的步骤5中,当用户尝试使用token登录时,会显示NEW(新生成)、SCANNED(已扫描待确认)、CONFIRMED(已确认)、USED(已使用)和如果失败,可以给出相应的信息以提高用户体验。 token只允许登录生成该token的设备。 这需要有能力支持唯一的防伪标识设备,如设备指纹。 扫描方必须是信用设备; Web端不能成为扫描端; 如果需要,在步骤3和步骤4中,输入token不合法、待扫描、已扫描待确认、登录成功并返回用户登录凭证、token已被使用过; 本文不讨论服务端安全,如token如何保存: https://www.cn blogs.com/Xin Zhao/p/6782943.html