关于移动端第三登录授权之后拿到 openid 之后,到服务器登录,授权校验的问题

那 QQ 登录的例子来说,我目前的流程是

  1. app 通过 sdk 拿到了我本人 qq 在该 app 下对应的 openid

  2. 把这个 openid 传到服务器端,服务器端直接查找该 openid 是否有注册过,注册过就算登录完成了。

我的疑虑就是服务器端拿到这个 openid 之后,却没有一个 token 去 qq 提供授权的接口做校验,是不是太不安全了。

或者说移动端是不是应该传一个 openid + token 到服务器,服务器端通过二者去 QQ 做授权校验。

第三方登录


share
我家的软妹 10 years, 9 months ago

Answers

服务器端用token重新取openid,然后根据重新取到的openid来验证


share
琉璃色之月 answered 10 years, 9 months ago

Your Answer

Ask Question
Related questions

移动应用该如何保存用户登录状态

QQ登录 不同应用 openid是否一样?

第三方登录一些问题,一直不明白 access_token 过不过期有什么意思

本网站QQ第三方登录对接时是怎样解决“没有明文密码而让用户登录”问题的?

android 微信第三方登录怎么通过code获取openid?

APP中,微信,qq,微博的第三方授权登录成功后的url头像地址会失效吗?