87,910
社区成员
发帖
与我相关
我的任务
分享qq和新浪第三方登录接口的疑问
Java版:
我理解的流程如下,用户点击登录后,弹出登录页,登录后,将回调我配置的接口登录。
疑问:回调我的接口时,我怎么判断是新浪调用的我的接口,而不是别人攻击调用的,我怎么验证? 我想到的是判断是是否是新浪的ip,但新浪的ip不会固定吧。
js版:
这个我没有找到配置回调接口的地方, 在新浪api里只有一个login方法,然后一个回调函数。这样使用新浪登陆后,我怎么通知我的后台用户登陆了呢?难道是在login的回调函数里调用接口去进行登陆操作,那别人都可以看到我的地址,那更加不安全了,而且我也不能再后台验证用户是否真的用新浪登陆了。
求各位大侠解惑
我理解的流程如下,用户点击登录后,弹出登录页,登录后,将回调我配置的接口登录。
疑问:回调我的接口时,我怎么判断是新浪调用的我的接口,而不是别人攻击调用的,我怎么验证? 我想到的是判断是是否是新浪的ip,但新浪的ip不会固定吧。
js版:
这个我没有找到配置回调接口的地方, 在新浪api里只有一个login方法,然后一个回调函数。这样使用新浪登陆后,我怎么通知我的后台用户登陆了呢?难道是在login的回调函数里调用接口去进行登陆操作,那别人都可以看到我的地址,那更加不安全了,而且我也不能再后台验证用户是否真的用新浪登陆了。
求各位大侠解惑
...全文
请发表友善的回复…
发表回复
街头小贩 2015-10-02
- 打赏
- 举报
但对于js版本的,还是不理解 他是怎么保证安全的,而且现在新浪微博的接口也没有设置回调地址的地方。
re:
我对新浪接口没接触过.只要有网络请求。安全问题都是一样的。现在javascript已经都了不得了。你以前能想想用 javascript写一个网站或应用程序吗
鱼老壳 2015-09-30
- 打赏
- 举报
恩 理解了下,java版的没有问题了。。
但对于js版本的,还是不理解 他是怎么保证安全的,而且现在新浪微博的接口也没有设置回调地址的地方。
街头小贩 2015-09-28
- 打赏
- 举报
我看你的理解有点片面。现在这种服务很多。如果有问题还会大量普及吗?
.服务的授权1.有证书加密码
2,没有证书的都是请求参数按一定的序列拼接作sha加密。
回调地址是由目标服务发起的。如果目录服务不出问题别人是不可能冒充的
建议你看一些http和web服务相关的书
街头小贩 2015-09-27
- 打赏
- 举报
1.这种oauth服务一般都用https,是不可能被盗用的,另外你每次请求都有授权或签名。别人不可能冒冲你,别的也不可能冒冲目标服务
2。你的回调地址是在你申请oauth时需要指定回调地址。
鱼老壳 2015-09-27
- 打赏
- 举报
先谢谢回答
对于回答1中的问题,“别人不能冒充服务器”,如果别人知道我的回调地址,直接调用 不就冒充了吗?
对于问题2 在微博登录中,我申请时是没有填写回调地址的(没找到配置的地方),在js调用时只在前台给了我一个js的回调函数处理。
对于回答1中的问题,“别人不能冒充服务器”,如果别人知道我的回调地址,直接调用 不就冒充了吗?
对于问题2 在微博登录中,我申请时是没有填写回调地址的(没找到配置的地方),在js调用时只在前台给了我一个js的回调函数处理。
