本文主要来研究一下二维码登录的相关场景和原理。
主要的场景有如下几个:
自己的app自有认证体系,在登录前提下完成pc端的扫描登录。 第三方app扫描登录场景,比如使用手机端的微信APP扫描登录PC端系统,这种情况下,一般是利用微信的oauth体系,服务端完成自有账户体系与微信账号的绑定,然后实现PC端的自动登录
以下所有的都基于这个前提,就是手机app已经登录,自带有登录的凭证,然后要扫描登录pc端的系统
pc端未登录的前提下
)
这个时候请求服务端生成一个登陆二维码
服务端生成二维码,该二维码包含了这个pc端的唯一标识,比如sessionId,或者是新生成一个uuid跟这个sessionId关联有长连接等其他实现,这里以轮询方式介绍
)
获取二维码之后,pc端开启定时轮询,轮询二维码的状态,主要有如下状态:NEW,SCANED,CONFIRMED,REFUSED,EXPIRED这个问题相当于
同一个帐号多设备同时登录
的问题
在二维码被具有登录态的app端扫描确认之后,PC端如何完成自动登录。有如下几个方案:
一种是基于redis来做过期,一种是使用数据库,但是设置expired time来判断
QRLJacking全称Quick Response Code Login Jacking,是session劫持的一种。
具体是怎么劫持的呢,假设攻击者将web登录二维码伪装为公众号二维码,让用户去扫描,用户一不小心点击确认,攻击者的就可以登录用户的web系统,或者利用那个token/session去盗取用户的相关信息或做相关操作。
二维码扫描登录是个挺潮流的功能,这要求既有系统增加改造,也要求针对这种形式的登录带来潜在的攻击进行安全防范。