我在google上面搜索了一些针对app的用户认证方案,也对比过传统PC时代的cookie认证,觉得都不太合理,我想到一个方案,不知道是否合理?
需求大概是这样的,用户通过登录第三方,走oauth接口来登录我们的app。
大概的流程如下:
- 用户先登录第三方,然后客户端拿到用户的数据,用https返回发给服务端。其中,传递的数据如下:
{
“user_id”:”123123123” ,
“access_token”:”accesstokenstrng”,
“platform”:”qq”,
“platform_name”:”xxx”,
}
2、服务端鉴权成功后,拿到用户更进一步的数据,主动帮用户创建一个用户。
3、服务端接着把user_id、登录状态相关信息、动态生成的secret加密串,存储到session之类的地方。
4、服务端把session_id、secret返回给客户端,客户端把这个secret存到内存里面。
5、至此,创建用户成功,结束https连接。
6、后续所有涉及到后端增删改的请求,都走http协议。在发送数据时,客户端先用secret对传输的数据做签名,并把签名signature、session_id一起带过来。
7、服务端根据session_id找到用户的数据,然后同样用secret对数据进行签名。如果两者一样,就证明数据是合法的。然后,就可以往下走常规的业务逻辑了。
这里面又涉及到两个问题:
1、客户端和服务端初始的https是否必要?其实我完全可以把secret内置到app里面。
2、我这种用secret对数据做签名的做法,比起自己搞个公钥私钥走https,好像没啥区别?