recherche
Maisondéveloppement back-endtutoriel phpOauth2.0开发 为何子要提交access_token或者还有一两个其他固定参数就能识别用户身份

Oauth2.0开发 为什么子要提交access_token或者还有一两个其他固定参数就能识别用户身份?
小弟最近要开发对APP请求的验证接口(服务端的,不是客户端哦),一直没明白,为什么通过Oauth协议流程获取到access_token之后,接下来的操作(对用户数据的增删改查)都只需要提交一个access_token,或者还有OpenID和APPKey(这些参数的有效期都是比较长,一般几天)就能判断用户的身份进行增删改查操作,小弟不明白,万一这几个参数泄露或被窃取了,那他人(第三方)不就可以通过提交这几个参数修改用户数据了吗?小弟第一次进行类似的开发,求大家指点下,如果能有源代码就更好的,在此先谢过各位~~
------解决方案--------------------

引用:
Quote: 引用:

openid是用户的唯一凭证同时关联着这个用户的所有数据,后台具体怎么实现?你指是谁的后台?用户在平台上面玩,平台肯定是能获取用户的信息,用户的需求,平台把信息给你,你根据用户的信息和需求进行反馈,给不给第三方提供接口不也是都由你做主吗?

你没明白我意思,或许是我没有阐述清楚,假设第三方已经拿到用户的访问令牌[access_token]、[OpenID]再加上第三方申请应用时获取到的身份标识[APPKey],现在第三方通过HTTP请求将这三个参数提交到腾讯API接口,腾讯后台程序通过判断这三个参数来验证用户身份,允许当前的增删改查操作。
腾讯后台程序是可以通过OpenID查找到相应的用户,这没错。我没搞懂的是腾讯后台程序怎么验证当前操作的合法性(确定是当前用户本人操作),因为这三个参数是固定不变的(有效期内),比如:A通过一些手段(HTTP监听...)获取到了B提交的这三个参数信息,那岂不是A就能通过提交这三个参数访问、修改B保存在腾讯服务器的信息了。我不是想知道腾讯后台具体是怎么去验证的,我只是想要验证的思路。

当用户通过oauth授权给第三方,第三方得到access_token之后,平台就和用户没有直接的关系了,剩下的操作都是服务器通过access_token的权限和平台进行交互。如果说access_token泄露,说明说第三方的服务器已经不安全了。在平台方能做的验证只能确保说,这个操作请求是由access_token授予的第三方应用发出,这种验证可以通过绑定应用的域名,IP,回调地址来实现
Déclaration
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Quels sont les problèmes courants qui peuvent faire échouer les sessions de PHP?Quels sont les problèmes courants qui peuvent faire échouer les sessions de PHP?Apr 25, 2025 am 12:16 AM

Les raisons de la défaillance de la phpsession comprennent les erreurs de configuration, les problèmes de cookies et l'expiration de session. 1. Erreur de configuration: vérifiez et définissez la session correcte.save_path. 2.Cookie Problème: assurez-vous que le cookie est correctement réglé. 3.Session Expire: Ajustez la valeur de session.gc_maxlifetime pour prolonger le temps de session.

Comment déboguez-vous les problèmes liés à la session dans PHP?Comment déboguez-vous les problèmes liés à la session dans PHP?Apr 25, 2025 am 12:12 AM

Les méthodes pour déboguer les problèmes de session en PHP incluent: 1. Vérifiez si la session est démarrée correctement; 2. Vérifiez la livraison de l'ID de session; 3. Vérifiez le stockage et la lecture des données de session; 4. Vérifiez la configuration du serveur. En sortissant l'ID de session et les données, en affichant le contenu du fichier de session, etc., vous pouvez diagnostiquer et résoudre efficacement les problèmes liés à la session.

Que se passe-t-il si Session_Start () est appelé plusieurs fois?Que se passe-t-il si Session_Start () est appelé plusieurs fois?Apr 25, 2025 am 12:06 AM

Plusieurs appels vers session_start () se traduiront par des messages d'avertissement et d'éventuels remplacements de données. 1) PHP émettra un avertissement, ce qui incite la session à démarrer. 2) Il peut provoquer un écrasement inattendu des données de session. 3) Utilisez session_status () pour vérifier l'état de la session pour éviter les appels répétés.

Comment configurez-vous la durée de vie de la session en PHP?Comment configurez-vous la durée de vie de la session en PHP?Apr 25, 2025 am 12:05 AM

La configuration du cycle de vie de session dans PHP peut être réalisée en définissant session.gc_maxlifetime et session.cookie_lifetime. 1) Session.gc_maxlifetime contrôle le temps de survie des données de session côté serveur, 2) Session.cookie_lifetime contrôle le cycle de vie des cookies des clients. Lorsqu'il est réglé sur 0, le cookie expire lorsque le navigateur est fermé.

Quels sont les avantages de l'utilisation d'une base de données pour stocker des sessions?Quels sont les avantages de l'utilisation d'une base de données pour stocker des sessions?Apr 24, 2025 am 12:16 AM

Les principaux avantages de l'utilisation des sessions de stockage de la base de données incluent la persistance, l'évolutivité et la sécurité. 1. Persistance: Même si le serveur redémarre, les données de session peuvent rester inchangées. 2. Évolutivité: applicable aux systèmes distribués, garantissant que les données de session sont synchronisées entre plusieurs serveurs. 3. Sécurité: La base de données fournit un stockage crypté pour protéger les informations sensibles.

Comment implémentez-vous la gestion des sessions personnalisées dans PHP?Comment implémentez-vous la gestion des sessions personnalisées dans PHP?Apr 24, 2025 am 12:16 AM

L'implémentation de traitement personnalisé de session dans PHP peut être effectué en implémentant l'interface SessionHandlerInterface. Les étapes spécifiques incluent: 1) la création d'une classe qui implémente SessionHandlerInterface, telles que CustomSessionHandler; 2) réécrire des méthodes dans l'interface (telles que l'ouverture, la fermeture, la lecture, l'écriture, la détruire, GC) pour définir le cycle de vie et la méthode de stockage des données de session; 3) Enregistrez un processeur de session personnalisé dans un script PHP et démarrez la session. Cela permet de stocker des données dans des supports tels que MySQL et Redis pour améliorer les performances, la sécurité et l'évolutivité.

Qu'est-ce qu'un identifiant de session?Qu'est-ce qu'un identifiant de session?Apr 24, 2025 am 12:13 AM

SessionID est un mécanisme utilisé dans les applications Web pour suivre l'état de la session utilisateur. 1. Il s'agit d'une chaîne générée aléatoire utilisée pour maintenir les informations d'identité de l'utilisateur lors de plusieurs interactions entre l'utilisateur et le serveur. 2. Le serveur génère et l'envoie au client via des cookies ou des paramètres d'URL pour aider à identifier et à associer ces demandes dans plusieurs demandes de l'utilisateur. 3. La génération utilise généralement des algorithmes aléatoires pour assurer l'unicité et l'imprévisibilité. 4. Dans le développement réel, les bases de données en mémoire telles que Redis peuvent être utilisées pour stocker les données de session pour améliorer les performances et la sécurité.

Comment gérez-vous les sessions dans un environnement sans état (par exemple, API)?Comment gérez-vous les sessions dans un environnement sans état (par exemple, API)?Apr 24, 2025 am 12:12 AM

La gestion des séances dans des environnements sans état tels que les API peut être réalisée en utilisant JWT ou des cookies. 1. JWT convient à l'état sans état et à l'évolutivité, mais il est de grande taille en ce qui concerne les mégadonnées. 2.La cookies est plus traditionnel et facile à mettre en œuvre, mais ils doivent être configurés avec prudence pour assurer la sécurité.

See all articles

Outils d'IA chauds

Undresser.AI Undress

Undresser.AI Undress

Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover

AI Clothes Remover

Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool

Undress AI Tool

Images de déshabillage gratuites

Clothoff.io

Clothoff.io

Dissolvant de vêtements AI

Video Face Swap

Video Face Swap

Échangez les visages dans n'importe quelle vidéo sans effort grâce à notre outil d'échange de visage AI entièrement gratuit !

Outils chauds

Version Mac de WebStorm

Version Mac de WebStorm

Outils de développement JavaScript utiles

Navigateur d'examen sécurisé

Navigateur d'examen sécurisé

Safe Exam Browser est un environnement de navigation sécurisé permettant de passer des examens en ligne en toute sécurité. Ce logiciel transforme n'importe quel ordinateur en poste de travail sécurisé. Il contrôle l'accès à n'importe quel utilitaire et empêche les étudiants d'utiliser des ressources non autorisées.

SublimeText3 Linux nouvelle version

SublimeText3 Linux nouvelle version

Dernière version de SublimeText3 Linux

MantisBT

MantisBT

Mantis est un outil Web de suivi des défauts facile à déployer, conçu pour faciliter le suivi des défauts des produits. Cela nécessite PHP, MySQL et un serveur Web. Découvrez nos services de démonstration et d'hébergement.

SublimeText3 version Mac

SublimeText3 version Mac

Logiciel d'édition de code au niveau de Dieu (SublimeText3)