バックエンド開発PHPチュートリアルOauth2.0 の開発 ユーザーを識別するために、ユーザーが access_token を送信したり、その他の 1 つまたは 2 つの固定パラメーターを使用したりする必要があるのはなぜですか?
最近、APP リクエストの検証インターフェイス (クライアント側ではなくサーバー側) を開発したいと考えています。Oauth プロトコル プロセスを通じて access_token を取得した後、次の操作 (追加、削除、変更、ユーザーの身元を確認し、追加、削除、変更、確認操作を実行するには、access_token、または OpenID と APPKey (これらのパラメーターの有効期間は比較的長く、通常は数日です) を送信する必要があるだけです。理解できませんが、これらのパラメータが漏洩した場合、または盗まれた場合、他の人(サードパーティ)はこれらのパラメータを送信することでユーザーデータを変更できませんか?似たような開発をするのは初めてなので、アドバイスをお願いします。ソースコードも教えていただければ幸いです。サーバー側のやり取りが盗まれた場合、サーバーは安全ではなくなりますが、暗号化された openid は誰にとっても意味がありません。
これらの固有のパラメーターによってユーザーの ID が特定される理由がわかりません。サードパーティが使用できるインターフェイスを開発したいのですが、この手順が理解できません。実装してください
これらはすべてサーバー側で発生するやり取りです。盗まれた場合、サーバーは安全ではなくなりますが、暗号化された openid は誰にとっても意味がありません。
これらの固有のパラメーターを通じてユーザー ID が特定される理由がわかりません。サードパーティが使用するインターフェイスを開発したいのですが、この手順を理解できません。解決してください。
openid はユーザーの唯一の認証情報であり、ユーザーのすべてのデータに関連付けられています。バックグラウンドで実装するにはどうすればよいですか?バックステージの誰のことを言っているのですか?ユーザーがプラットフォームでプレイするとき、プラットフォームはユーザーの情報とユーザーのニーズを取得できる必要があり、プラットフォームはユーザーの情報とニーズに基づいてフィードバックを提供することもできます。インターフェースをサードパーティに提供するかどうかを決定するには?
openid はユーザーの唯一の認証情報であり、ユーザーのすべてのデータに関連付けられています。バックグラウンドでどのように実装されますか?バックステージの誰のことを言っているのですか?ユーザーがプラットフォームでプレイするとき、プラットフォームはユーザーの情報とユーザーのニーズを取得できる必要があり、プラットフォームはユーザーの情報とニーズに基づいてフィードバックを提供することもできます。インターフェースをサードパーティに提供するかどうかを決定するには?
あなたは私の意味が理解できませんでした。おそらく私が明確に説明しなかったのでしょう。サードパーティがユーザーのアクセス トークン [access_token]、[OpenID]、およびサードパーティが取得した ID 識別子 [APPKey] を取得したと仮定します。アプリケーションに適用されると、サードパーティは HTTP リクエストを通じてこれら 3 つのパラメータを Tencent API インターフェイスに送信し、Tencent バックグラウンド プログラムはこれら 3 つのパラメータを判断することでユーザーの身元を確認し、現在の追加、削除、変更、およびクエリ操作を許可します。 Tencent バックエンド プログラムは OpenID を通じて対応するユーザーを見つけることができます。これは正しいです。私が理解できないのは、Tencent のバックグラウンド プログラムが現在の操作の合法性をどのように検証するか (現在のユーザーによって操作されていることを確認する) です。これら 3 つのパラメーターは (有効期間内で) 固定されているためです。たとえば、次のようになります。 (HTTP監視。..) Bが送信した3つのパラメータ情報を取得した後、Aは、これら3つのパラメータを送信することで、BがTencentサーバーに保存した情報にアクセスし、変更できることを意味するのではないでしょうか? Tencent のバックエンドがどのように検証するのか知りたくないのですが、検証のアイデアが欲しいだけです。
openid はユーザーの唯一の認証情報であり、ユーザーのすべてのデータに関連付けられています。バックグラウンドでどのように実装されますか?バックステージの誰のことを言っているのですか?ユーザーがプラットフォームでプレイするとき、プラットフォームはユーザーの情報とユーザーのニーズを取得できる必要があり、プラットフォームはユーザーの情報とニーズに基づいてフィードバックを提供することもできます。インターフェースをサードパーティに提供するかどうかを決定するには?
あなたは私の意味が理解できませんでした。おそらく私が明確に説明しなかったのでしょう。サードパーティがユーザーのアクセス トークン [access_token]、[OpenID]、およびサードパーティが取得した ID 識別子 [APPKey] を取得したと仮定します。アプリケーションに適用された場合、サードパーティは HTTP リクエストを通じてこれら 3 つのパラメータを Tencent API インターフェイスに送信し、Tencent バックグラウンド プログラムはこれら 3 つのパラメータを判断することでユーザーの身元を確認し、現在の追加、削除、変更、クエリ操作を許可します。 Tencent バックエンド プログラムは OpenID を通じて対応するユーザーを見つけることができます。これは正しいです。私が理解できないのは、Tencent のバックグラウンド プログラムが現在の操作の合法性をどのように検証するか (現在のユーザーによって操作されていることを確認する) です。これら 3 つのパラメーターは (有効期間内で) 固定されているためです。たとえば、次のようになります。 (HTTP監視。..) Bが送信した3つのパラメータ情報を取得した後、Aは、これら3つのパラメータを送信することで、BがTencentサーバーに保存した情報にアクセスし、変更できることを意味するのではないでしょうか? Tencent のバックエンドがどのように検証するのか知りたくないのですが、検証のアイデアが欲しいだけです。
ユーザーが oauth を通じてサードパーティを承認し、サードパーティが access_token を取得すると、プラットフォームはユーザーと直接の関係を持ちません。残りの操作は、サーバーが access_token の権限を通じてプラットフォームと対話することです。 access_token が漏洩した場合、サードパーティのサーバーが安全ではなくなったことを意味します。プラットフォーム上で実行できる検証は、この操作リクエストが access_token によって付与されたサードパーティ アプリケーションによって発行されたことのみを確認できます。この検証は、アプリケーションのドメイン名、IP、およびコールバック アドレスをバインドすることによって実現できます
このメソッドは、操作がユーザー自身によって発行されたかどうかを決定します。access_token が付与されている限り、ユーザーはそれ以上の操作を実行する必要はありません。そのため、access_tokenを第三者に付与する際には、第三者が認可後にどのような操作ができるかをユーザーが理解できるように、第三者が要求する権限をすべてユーザーに表示する必要があります
セキュリティ上の問題は存在しますが、実際、それらは大したことではありません
1. 情報がユーザーによって漏洩された場合、実際には、ユーザーはすでに危険にさらされています。ハッカーはこれら 3 つの値を取得する必要はまったくなく、ユーザーのユーザー名とパスワードを完全に盗み (多くの Web サイトは平文で送信します)、各 Web サイト上のユーザーのデータを直接変更できます。このようなことが起こった場合、ユーザーは自分が不運であることを認めることしかできず、あなたを責めることはありません。脆弱性が修正されると、ユーザーは安全にパスワードを変更できるようになります。
2. Tencent が提供する 3 つの値は、アプリケーションがインターフェイスで許可されているすべてのことを実行できることを意味します。つまり、実際には、Tencent がアプリケーションに公開するインターフェイスは、主に情報を取得するためのインターフェイスであり、一部はインタラクティブです。インターフェイス、および毎日のインタラクションの数も制限されます。 QQ パスワードを変更できますか? QQ ニックネームを変更できますか?個人情報は変更できません。これはどれも変更できませんし、ハッカーができることは何もないので、問題ありません。
3. サーバーが大規模なユーザーデータ漏洩を引き起こした場合は、運が悪かったと考えてください。バグを修正するにはサービスを停止する必要があります。変更が完了したら、AppKey を再生成して、補償メカニズムか何かを作成するのが安全です。
つまり、それでも許容されます。このメカニズムに問題があったとしても、テンセントはとっくの昔に別の方法を見つけていたでしょうし、あなたが心配する番ではありません。
openid はユーザーの唯一の認証情報であり、ユーザーのすべてのデータに関連付けられています。バックグラウンドでどのように実装されますか?バックステージの誰のことを言っているのですか?ユーザーがプラットフォームでプレイするとき、プラットフォームはユーザーの情報とユーザーのニーズを取得できる必要があり、プラットフォームはユーザーの情報とニーズに基づいてフィードバックを提供することもできます。インターフェースをサードパーティに提供するかどうかを決定するには?
あなたは私の意味が理解できませんでした。おそらく私が明確に説明しなかったのでしょう。サードパーティがユーザーのアクセス トークン [access_token]、[OpenID]、およびサードパーティが取得した ID 識別子 [APPKey] を取得したと仮定します。アプリケーションに適用された場合、サードパーティは HTTP リクエストを通じてこれら 3 つのパラメータを Tencent API インターフェイスに送信し、Tencent バックグラウンド プログラムはこれら 3 つのパラメータを判断することでユーザーの身元を確認し、現在の追加、削除、変更、クエリ操作を許可します。
Tencent バックエンド プログラムは OpenID を通じて対応するユーザーを見つけることができます。これは正しいです。私が理解できないのは、Tencent のバックグラウンド プログラムが現在の操作の合法性をどのように検証するか (現在のユーザーによって操作されていることを確認する) です。これら 3 つのパラメーターは (有効期間内で) 固定されているためです。たとえば、次のようになります。 (HTTP監視。..) Bが送信した3つのパラメータ情報を取得した後、Aは、これら3つのパラメータを送信することで、BがTencentサーバーに保存した情報にアクセスし、変更できることを意味するのではないでしょうか? Tencent のバックエンドがどのように検証するのか知りたくないのですが、検証のアイデアが欲しいだけです。
ユーザーが oauth を通じてサードパーティを承認し、サードパーティが access_token を取得すると、プラットフォームはユーザーと直接の関係を持ちません。残りの操作は、サーバーが access_token の権限を通じてプラットフォームと対話することです。 access_token が漏洩した場合、サードパーティのサーバーが安全ではなくなったことを意味します。プラットフォーム上で実行できる検証では、この操作リクエストが access_token によって付与されたサードパーティ アプリケーションによって発行されたことのみを確認できます。この検証は、アプリケーションのドメイン名、IP、コールバック アドレスをバインドすることによって実現できます
さて。 、ありがとう
確かにセキュリティ上の問題はありますが、実際には大きな問題ではありません
1. ユーザーの情報が漏洩すると、ユーザーは実際に危険にさらされます。ハッカーはこれら 3 つの値を取得する必要はまったくなく、ユーザーのユーザー名とパスワードを完全に盗み (多くの Web サイトは平文で送信します)、各 Web サイト上のユーザーのデータを直接変更できます。このようなことが起こった場合、ユーザーは自分が不運であることを認めることしかできず、あなたを責めることはありません。脆弱性が修正されると、ユーザーは安全にパスワードを変更できるようになります。
2. Tencent が提供する 3 つの値は、アプリケーションがインターフェイスで許可されているすべてのことを実行できることを意味します。したがって、実際には、Tencent がアプリケーションに公開するインターフェイスは、主に情報を取得するためのインターフェイスであり、一部はインタラクティブです。インターフェイス、および毎日のインタラクションの数も制限されます。 QQ パスワードを変更できますか? QQ ニックネームを変更できますか?個人情報は変更できません。これはどれも変更できず、ハッカーができることは何もないので、問題ありません。
3. サーバーが大規模なユーザーデータ漏洩を引き起こした場合は、運が悪かったと考えてください。バグを修正するにはサービスを停止する必要があります。変更が完了したら、AppKey を再生成して、補償メカニズムか何かを作成するのが安全です。
つまり、それでも許容されます。このメカニズムに問題があったとしても、テンセントはとっくの昔に別の方法を見つけていたでしょうし、あなたが心配する番ではありません。
Tencent が提供するインターフェイスはデータを取得することしかできないことがわかり、以前は注意を払っていませんでした。この方法では、セキュリティ上の懸念がなく、携帯電話がこのインターフェイスを通じてユーザー データを変更できるように、Web サイトのモバイル APP にリクエストを提供するインターフェイスを開発したいと考えています。これを実現する方法はすでにあります。
それを達成する方法を説明していただけますか?
PHP対Python:違いを理解しますApr 11, 2025 am 12:15 AMPHP and Python each have their own advantages, and the choice should be based on project requirements. 1.PHPは、シンプルな構文と高い実行効率を備えたWeb開発に適しています。 2。Pythonは、簡潔な構文とリッチライブラリを備えたデータサイエンスと機械学習に適しています。
PHP:それは死にかけていますか、それとも単に適応していますか?Apr 11, 2025 am 12:13 AMPHPは死にかけていませんが、常に適応して進化しています。 1)PHPは、1994年以来、新しいテクノロジーの傾向に適応するために複数のバージョンの反復を受けています。 2)現在、電子商取引、コンテンツ管理システム、その他の分野で広く使用されています。 3)PHP8は、パフォーマンスと近代化を改善するために、JITコンパイラおよびその他の機能を導入します。 4)Opcacheを使用してPSR-12標準に従って、パフォーマンスとコードの品質を最適化します。
PHPの未来:適応と革新Apr 11, 2025 am 12:01 AMPHPの将来は、新しいテクノロジーの傾向に適応し、革新的な機能を導入することで達成されます。1)クラウドコンピューティング、コンテナ化、マイクロサービスアーキテクチャに適応し、DockerとKubernetesをサポートします。 2)パフォーマンスとデータ処理の効率を改善するために、JITコンパイラと列挙タイプを導入します。 3)パフォーマンスを継続的に最適化し、ベストプラクティスを促進します。
PHPの抽象クラスまたはインターフェイスに対して、いつ特性を使用しますか?Apr 10, 2025 am 09:39 AMPHPでは、特性は方法が必要な状況に適していますが、継承には適していません。 1)特性により、クラスの多重化方法が複数の継承の複雑さを回避できます。 2)特性を使用する場合、メソッドの競合に注意を払う必要があります。メソッドの競合は、代替およびキーワードとして解決できます。 3)パフォーマンスを最適化し、コードメンテナビリティを改善するために、特性の過剰使用を避け、その単一の責任を維持する必要があります。
依存関係噴射コンテナ(DIC)とは何ですか?また、なぜPHPで使用するのですか?Apr 10, 2025 am 09:38 AM依存関係噴射コンテナ(DIC)は、PHPプロジェクトで使用するオブジェクト依存関係を管理および提供するツールです。 DICの主な利点には、次のものが含まれます。1。デカップリング、コンポーネントの独立したもの、およびコードの保守とテストが簡単です。 2。柔軟性、依存関係を交換または変更しやすい。 3.テスト可能性、単体テストのために模擬オブジェクトを注入するのに便利です。
通常のPHPアレイと比較して、SPL SPLFIXEDARRAYとそのパフォーマンス特性を説明してください。Apr 10, 2025 am 09:37 AMSplfixedArrayは、PHPの固定サイズの配列であり、高性能と低いメモリの使用が必要なシナリオに適しています。 1)動的調整によって引き起こされるオーバーヘッドを回避するために、作成時にサイズを指定する必要があります。 2)C言語アレイに基づいて、メモリと高速アクセス速度を直接動作させます。 3)大規模なデータ処理とメモリに敏感な環境に適していますが、サイズが固定されているため、注意して使用する必要があります。
PHPは、ファイルを安全に処理する方法をどのように処理しますか?Apr 10, 2025 am 09:37 AMPHPは、$ \ _ファイル変数を介してファイルのアップロードを処理します。セキュリティを確保するための方法には次のものが含まれます。1。アップロードエラー、2。ファイルの種類とサイズを確認する、3。ファイル上書きを防ぐ、4。ファイルを永続的なストレージの場所に移動します。
Null Coulescingオペレーター(??)およびNull Coulescing Assignment Operator(?? =)とは何ですか?Apr 10, 2025 am 09:33 AMJavaScriptでは、nullcoalescingoperator(??)およびnullcoalescingsignmentoperator(?? =)を使用できます。 1.??最初の非潜水金または非未定されたオペランドを返します。 2.??これらの演算子は、コードロジックを簡素化し、読みやすさとパフォーマンスを向上させます。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
AtomエディタMac版ダウンロード
最も人気のあるオープンソースエディター
mPDF
mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。
MantisBT
Mantis は、製品の欠陥追跡を支援するために設計された、導入が簡単な Web ベースの欠陥追跡ツールです。 PHP、MySQL、Web サーバーが必要です。デモおよびホスティング サービスをチェックしてください。
Dreamweaver Mac版
ビジュアル Web 開発ツール
メモ帳++7.3.1
使いやすく無料のコードエディター
