聊聊二维码登录

本文主要来研究一下二维码登录的相关场景和原理。

场景

主要的场景有如下几个:

  • app扫二维码登录pc版系统 比如微信web版,在手机端微信登录的前提下,扫二维码确认,自动登录网页版。这里的app可以分为两大类,一个是自有的app,一个是第三方的app。

自己的app自有认证体系,在登录前提下完成pc端的扫描登录。 第三方app扫描登录场景,比如使用手机端的微信APP扫描登录PC端系统,这种情况下,一般是利用微信的oauth体系,服务端完成自有账户体系与微信账号的绑定,然后实现PC端的自动登录

  • app扫二维码作为双因素验证 比如微信公众号平台,在账户密码登录PC端的情况下,再使用手机端微信登录的前提下,扫描二维码再次确认,登录网页版
  • Secure QR Login (SQRL) 完全使用二维码登录,替代用户密码。这个有SQRL协议及相关实现。

步骤

以下所有的都基于这个前提,就是手机app已经登录,自带有登录的凭证,然后要扫描登录pc端的系统

  • 打开pc端显示登录二维码(pc端未登录的前提下) 这个时候请求服务端生成一个登陆二维码 服务端生成二维码,该二维码包含了这个pc端的唯一标识,比如sessionId,或者是新生成一个uuid跟这个sessionId关联
  • pc端同时开启轮询(有长连接等其他实现,这里以轮询方式介绍) 获取二维码之后,pc端开启定时轮询,轮询二维码的状态,主要有如下状态:NEW,SCANED,CONFIRMED,REFUSED,EXPIRED
  • 手机端扫描二维码 手机端已经登录的情况下,扫描网页二维码,二维码状态变为已扫描,然后手机端跳转到确认页面
  • 手机端确认 手机端扫描二维码之后,点击确认,二维码状态变为确认
  • pc端跳转成功/二维码过期/拒绝 二维码状态变为确认之后,跳转自动登录,完成PC端登录态建立 如果app端拒绝这次请求,则二维码状态变为被拒绝,不再轮询 如果二维码状态在一定时间没有变化,则显示二维码过期,不再轮询

PC客户端

  • 请求登录二维码
  • 轮询二维码状态
  • 跳到到登陆后的页面

手机客户端

  • 扫描登录二维码
  • 确认登录

服务端

  • 生成登录二维码,绑定二维码与pc客户端
  • 处理二维码轮询
  • 处理手机端扫描二维码
  • 处理手机端确认二维码登录
  • 处理pc端自动登录

实现

PC端如何自动登录

这个问题相当于同一个帐号多设备同时登录的问题

在二维码被具有登录态的app端扫描确认之后,PC端如何完成自动登录。有如下几个方案:

  • session拷贝 其实就是在原来基于账号密码的登录鉴权逻辑基础上,新增支持无需账号密码的登录。也就相当于绕过了基于用户名密码,内部重新设置了一个登录态 如果是基于session的鉴权,相当于基于原有的一个已经鉴权的session,拷贝信息到另外一个新的session中,在server端关联
  • 复用已有token 如果是基于token的鉴权,一种方案就是复用token,让pc端也复用手机app端的token,这样的好处是原来基于token的鉴权逻辑都不用改
  • 仿照oauth授权颁发新token 整个过程其实有点像oauth,pc端是client,server端是资源和认证中心,手机端是具有登录态的用户。手机端扫描二维码,然后用户确认授权,server端给pc端颁发token,然后pc端就可以访问server端的资源了。这种就在原来的认证基础上支持另外一类oauth的token校验,貌似有点复杂 另外一个变形是新颁发token,但跟app端的token有个关联映射,最终鉴权的时候还去找原来授权的token去鉴权,这样的好处是原来的token失效,经过它授权的token也失效

二维码过期

一种是基于redis来做过期,一种是使用数据库,但是设置expired time来判断

安全问题

QRLJacking全称Quick Response Code Login Jacking,是session劫持的一种。

原理

具体是怎么劫持的呢,假设攻击者将web登录二维码伪装为公众号二维码,让用户去扫描,用户一不小心点击确认,攻击者的就可以登录用户的web系统,或者利用那个token/session去盗取用户的相关信息或做相关操作。

防范

  • 二维码超时机制 二维码增加超时机制之后,会增加攻击者攻击的难度,不过攻击者也可能利用脚本去自动刷新二维码
  • 确认机制 二维码扫描一定要有这个确认的页面,明确告知用户要做的操作,假设没有确认这个环节,那么是极其容易上当的。另外,二维码扫描确认之后,再往用户app或手机等发送登录提醒的通知,告知如果不是本人登录的,则建议用户立即修改密码
  • Sound-based Authentication 确认阶段改为双边语音确认,而不是简单的用户点击确认按钮。语音是根据用户id、二维码id等加密生成,在app端播放,然后pc端语音识别之后才能完成整个登录过程。这个可以有效防止远程攻击。同样的思路,改语音为one time password也行,增加了确认过程的复杂度,也就增加了攻击的难度。

小结

二维码扫描登录是个挺潮流的功能,这要求既有系统增加改造,也要求针对这种形式的登录带来潜在的攻击进行安全防范。

doc

  • SQRL (Secure Quick Reliable Login)
  • 扫码登录的安全性分析
  • 模拟实现微信扫描二维码登录PC网站
  • Web应用多账号系统设计及微信扫码登录实现
  • 即时通信系统中如何实现:支持PC端和移动端同时在线(即支持同帐号多设备同时登录)?
  • Quick authentication using mobile devices and QR Codes
  • OWASP Qrljacking
  • QRLJacking:如何劫持快速登陆时使用的二维码
  • 微信Netting-QRLJacking分析利用-扫我二维码获取你的账号权限

原文发布于微信公众号 - 码匠的流水账(geek_luandun)

原文发表时间:2017-12-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Python与爬虫

模拟登陆知乎(最新版)

为啥要写这一篇文章呢? (主要是qq群内有人在模拟登陆知乎,一直不成功)然后我抓包看了下,发现知乎登陆页已经改版了,而且难度大大提高了。 开始抓包 首先内,还是...

42713
来自专栏Crossin的编程教室

如何安装 Python 的第三方模块

正所谓“人生苦短,我用 Python”。Python 的一大优势就是有丰富且易用的第三方模块,省去了大量重复造轮子的时间,节约了众多开发者的生命。对于已经熟悉 ...

2939
来自专栏杨建荣的学习笔记

在eclipse中配置MySQL源码环境(r12笔记第14天)

今天费了些周折,总算搭建好了MySQL源码的调试环境,主要的目的就是想在看代码的时候有一些头绪,让这些开发技巧派上用场。不至于盲人摸象一般的拿着命令肉眼扫...

4196
来自专栏Django中文社区

建立 Django 博客应用

建立博客应用 我们已经建立了 Django 博客的项目工程,并且成功地运行了它。不过到目前为止这一切都还只是 Django 为我们创建的项目初始内容,Djang...

2957
来自专栏小樱的经验随笔

利用Git工具将本地创建的项目上传到Github上

作为一个对前沿技术很看好的小青年,怎么能不会用Github呢?一年前我创建了Github,也知道git,但是尝试过用,但是就没弄明白,很多粉丝都问我Github...

994
来自专栏码神联盟

nginx+tomcat负载均衡配置

前几天,我们讲过了【互联网常见架构模式 之 nginx负载均衡】(忘记的童鞋,点击上面链接或者输入关键词:nginx\负载均衡,即可重新阅读),...

4578
来自专栏PHP技术大全

通过Web安全工具Burp suite找出网站中的XSS漏洞实战(二)

笔者6月份在慕课网录制视频教程XSS跨站漏洞 加强Web安全,里面需要讲到很多实战案例,在漏洞挖掘案例中分为了手工挖掘、工具挖掘、代码审计三部分内容,手工挖掘篇...

3274
来自专栏13blog.site

Spring+SpringMVC+MyBatis+easyUI整合基础篇(六)maven整合SSM

前言   承接前文《Spring+SpringMVC+MyBatis+easyUI整合基础篇(五)讲一下maven》,本篇所讲述的是如何使用maven与原s...

5585
来自专栏老九学堂

初识DOS

一、什么是DOS DOS是英文“Disk Operating System”的缩写,意思是磁盘操作系统。它与Windows一样都是属于操作系统,但没有Windo...

3795
来自专栏nimomeng的自我进阶

简单免费的文档中心——dokuWiki搭建指南

首先去官网下载页面下载最新版本的Dokuwiki,根据自己需要动态打包,不需要安装:

6.7K4

扫码关注云+社区

领取腾讯云代金券