摘要:场景主要的场景有如下几个扫二维码登录版系统比如微信版,在手机端微信登录的前提下,扫二维码确认,自动登录网页版。小结二维码扫描登录是个挺潮流的功能,这要求既有系统增加改造,也要求针对这种形式的登录带来潜在的攻击进行安全防范。
序
本文主要来研究一下二维码登录的相关场景和原理。
场景主要的场景有如下几个:
app扫二维码登录pc版系统
比如微信web版,在手机端微信登录的前提下,扫二维码确认,自动登录网页版。这里的app可以分为两大类,一个是自有的app,一个是第三方的app。
自己的app自有认证体系,在登录前提下完成pc端的扫描登录。
第三方app扫描登录场景,比如使用手机端的微信APP扫描登录PC端系统,这种情况下,一般是利用微信的oauth体系,服务端完成自有账户体系与微信账号的绑定,然后实现PC端的自动登录
app扫二维码作为双因素验证
比如微信公众号平台,在账户密码登录PC端的情况下,再使用手机端微信登录的前提下,扫描二维码再次确认,登录网页版
Secure QR Login (SQRL)
完全使用二维码登录,替代用户密码。这个有SQRL协议及相关实现。
步骤以下所有的都基于这个前提,就是手机app已经登录,自带有登录的凭证,然后要扫描登录pc端的系统
打开pc端显示登录二维码(pc端未登录的前提下)
这个时候请求服务端生成一个登陆二维码
服务端生成二维码,该二维码包含了这个pc端的唯一标识,比如sessionId,或者是新生成一个uuid跟这个sessionId关联
pc端同时开启轮询(有长连接等其他实现,这里以轮询方式介绍)
获取二维码之后,pc端开启定时轮询,轮询二维码的状态,主要有如下状态:NEW,SCANED,CONFIRMED,REFUSED,EXPIRED
手机端扫描二维码
手机端已经登录的情况下,扫描网页二维码,二维码状态变为已扫描,然后手机端跳转到确认页面
手机端确认
手机端扫描二维码之后,点击确认,二维码状态变为确认
pc端跳转成功/二维码过期/拒绝
二维码状态变为确认之后,跳转自动登录,完成PC端登录态建立PC客户端
如果app端拒绝这次请求,则二维码状态变为被拒绝,不再轮询
如果二维码状态在一定时间没有变化,则显示二维码过期,不再轮询
请求登录二维码
轮询二维码状态
跳到到登陆后的页面
手机客户端扫描登录二维码
确认登录
服务端生成登录二维码,绑定二维码与pc客户端
处理二维码轮询
处理手机端扫描二维码
处理手机端确认二维码登录
处理pc端自动登录
实现 PC端如何自动登录这个问题相当于同一个帐号多设备同时登录的问题
在二维码被具有登录态的app端扫描确认之后,PC端如何完成自动登录。有如下几个方案:
session拷贝
其实就是在原来基于账号密码的登录鉴权逻辑基础上,新增支持无需账号密码的登录。也就相当于绕过了基于用户名密码,内部重新设置了一个登录态
如果是基于session的鉴权,相当于基于原有的一个已经鉴权的session,拷贝信息到另外一个新的session中,在server端关联
复用已有token
如果是基于token的鉴权,一种方案就是复用token,让pc端也复用手机app端的token,这样的好处是原来基于token的鉴权逻辑都不用改
仿照oauth授权颁发新token
整个过程其实有点像oauth,pc端是client,server端是资源和认证中心,手机端是具有登录态的用户。手机端扫描二维码,然后用户确认授权,server端给pc端颁发token,然后pc端就可以访问server端的资源了。这种就在原来的认证基础上支持另外一类oauth的token校验,貌似有点复杂二维码过期
另外一个变形是新颁发token,但跟app端的token有个关联映射,最终鉴权的时候还去找原来授权的token去鉴权,这样的好处是原来的token失效,经过它授权的token也失效
一种是基于redis来做过期,一种是使用数据库,但是设置expired time来判断
安全问题QRLJacking全称Quick Response Code Login Jacking,是session劫持的一种。
原理具体是怎么劫持的呢,假设攻击者将web登录二维码伪装为公众号二维码,让用户去扫描,用户一不小心点击确认,攻击者的就可以登录用户的web系统,或者利用那个token/session去盗取用户的相关信息或做相关操作。
防范二维码超时机制
二维码增加超时机制之后,会增加攻击者攻击的难度,不过攻击者也可能利用脚本去自动刷新二维码
确认机制
二维码扫描一定要有这个确认的页面,明确告知用户要做的操作,假设没有确认这个环节,那么是极其容易上当的。另外,二维码扫描确认之后,再往用户app或手机等发送登录提醒的通知,告知如果不是本人登录的,则建议用户立即修改密码
Sound-based Authentication
确认阶段改为双边语音确认,而不是简单的用户点击确认按钮。语音是根据用户id、二维码id等加密生成,在app端播放,然后pc端语音识别之后才能完成整个登录过程。这个可以有效防止远程攻击。同样的思路,改语音为one time password也行,增加了确认过程的复杂度,也就增加了攻击的难度。
小结二维码扫描登录是个挺潮流的功能,这要求既有系统增加改造,也要求针对这种形式的登录带来潜在的攻击进行安全防范。
docSQRL (Secure Quick Reliable Login)
扫码登录的安全性分析
模拟实现微信扫描二维码登录PC网站
Web应用多账号系统设计及微信扫码登录实现
即时通信系统中如何实现:支持PC端和移动端同时在线(即支持同帐号多设备同时登录)?
Quick authentication using mobile devices and QR Codes
OWASP Qrljacking
QRLJacking:如何劫持快速登陆时使用的二维码
微信Netting-QRLJacking分析利用-扫我二维码获取你的账号权限
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/11294.html
摘要:前言这个项目是利用工作之余写的一个模仿微信的单页面应用,整个项目包含个页面,涉及实时群聊,机器人聊天,同学录,朋友圈等等,后续页面还是开发中。 前言 这个项目是利用工作之余写的一个模仿微信app的单页面应用,整个项目包含27个页面,涉及实时群聊,机器人聊天,同学录,朋友圈等等,后续页面还是开发中。写这个项目主要目的是练习和熟悉vue和vuex的配合使用,利用socket.io实现实时聊...
摘要:对中的数据绑定场景,小伙伴们就再熟悉不过了。比如包下大名鼎鼎的源码分析的源码相对来说还是颇为复杂的,它提供的能力非常强大,也注定了它的方法非常多属性也非常多。并且备注入群字样,会手动邀请入群 每篇一句 唯有热爱和坚持,才能让你在程序人生中屹立不倒,切忌跟风什么语言或就学什么去~ 相关阅读 【小家Spring】聊聊Spring中的数据绑定 --- 属性访问器PropertyAccesso...
摘要:本质上就是你调用苹果提供给你的来完成设计师的设计。如果能做到烂熟于胸,相信会有很大的提升。除此外,推荐下他整理的开发者项目最佳实践,资料很多很强大。感谢简书作者翻译,造福广大开发者。 6月30 日,苹果开发者后台贴出一封关于广电总局的醒目通知,申报一个游戏 APP 上架AppStore,你需要文网文+ICP证+软著+版号,审批难度将越来越大,不禁让人感慨中国独立开发者的成长 道阻且长...
摘要:本质上就是你调用苹果提供给你的来完成设计师的设计。如果能做到烂熟于胸,相信会有很大的提升。除此外,推荐下他整理的开发者项目最佳实践,资料很多很强大。感谢简书作者翻译,造福广大开发者。 6月30 日,苹果开发者后台贴出一封关于广电总局的醒目通知,申报一个游戏 APP 上架AppStore,你需要文网文+ICP证+软著+版号,审批难度将越来越大,不禁让人感慨中国独立开发者的成长 道阻且长...
摘要:序本文主要介绍下的,也就是定位图案,用于定位一张图片中二维码所处的位置。分类分为三类是和的原型,从到共种尺寸。是的改良版本,添加了对齐标记,从到共种尺寸。这里默认有个的概念,不同的对应不同的尺寸大小。最高,,所以最高是的矩阵。 序 本文主要介绍下qrcode的detect position,也就是定位图案,用于定位一张图片中二维码所处的位置。 qrcode分类 QRCode 分为 Mo...
阅读 3029·2021-10-13 09:40
阅读 3053·2021-10-13 09:40
阅读 3455·2019-08-30 15:54
阅读 1197·2019-08-30 13:20
阅读 2790·2019-08-30 11:26
阅读 361·2019-08-29 11:33
阅读 1010·2019-08-26 14:00
阅读 2213·2019-08-26 13:58
