跨平台跨端的登录流程及其安全设计

目录

跨平台跨端的登录流程及其安全设计

一、登录流程

1.1、登录流程时序图

1.2、三方App 登录

1.3、请求的路由守卫 

二、注册流程

2.1、注册流程时序图

2.2、多因素认证

2.3、自动跳转登录页面

三、涉及的技术与安全

3.1、用户许可授权

3.2、原生App权限

3.3、私域权限

3.4、加密与解密

3.5、前端相关的主要部分

3.6、后端相关的主要部分

3.7、安全相关的主要部分

---

一、登录流程

        为统一多端的路由守卫的模式（App客户端、浏览器web客户端(含移动端)、webview客户端等），保证系统及应用的安全，本文旨在寻求一种通用的、标准化的方法，可参考大厂的做法，比如微信小程序-登录流程时序：

https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html

1.1、登录流程时序图

说明：

         ⓪、可扩展为PaaS的后端服务：你的应用服务，可“剥离”为“业务API服务”和“平台API服务”，即上述“开发者服务”和“可扩展为PaaS的后端服务”。“平台API服务”，可以为第三方的“独立软件开发商ISV”提供接入服务，由它们代为“最终用户开发”，或扩展你的“业务API服务”的功能；同时，“平台API服务”，还可以作为“企业客户”的管理后端，统一管理为企业客制化的appid和appkey，每个企业都有一个唯一的“appid”标识。而且，“业务API服务”和“平台API服务”可以是“分布式架构”，它们之间，可以是1对1的关系、也可以是多对一的关系、还可以是”支持负载均衡“的多对多的关系。

         ①、“通用签名”和“一次性登录凭证code”：“通用签名”，可以被客制化为一个“可扩展为PaaS的后端服务”所提供的签名校验服务，它可以是一个同时具备“PreventDoubleSubmission防止双重提交功能”的时间戳的差值，这个差值极短比如0.03毫秒，即我们通常所说的“雪花算法ID”，可以有效防止一开始就被”ddos“攻击。“一次性登录凭证code”，相当于一个“一次性访问令牌”，下次再请求，该令牌就会失效。

         ②、AK换取SK：几乎是，所有大厂的平台服务，所采用的方式，即：拿“用户注册平台服务”时，所产生的AppID对象，“appid”及其键值"appkey"，携带临时令牌code，生成用户当前“会话”所使用的session_ID对象，“session_id”及其键值"session_key"。其中，session_key，会话密钥，是对用户数据进行 加密签名 的密钥。为了应用自身的数据安全，开发者服务器不应该把会话密钥下发到“多端应用”，也不应该对外提供这个密钥。

         ③、自定义登录态loginStatus：将session_key和openid按照客制化的特定算法进行关联，并存取到“开发服务器”持久化，可以存取到后端服务的数据库中，也可以持久化到开发服务器的redis键值对中，便于后期查询“签名密钥”进行“签名的验证”。

         ④、缓存自定义登录态loginStatus——Storage：将loginStatus缓存到“本地”，“本地”，对移动端App而言，即使其应用的“沙盒”路径下的loginStatus文件；对PC端的App而言，可以是操作系统的用户数据目录（比如MSWindows下的C:\Users\Administrator\AppData\Roaming\yourApp），也可以是该应用根下的某个专门存取的路径下的“加密”的loginStatus文件，读取时需要“解密”。对基于“浏览器或webview”的应用（比如html5网站、微信/支付宝/百度等的小程序），直接将其缓存到“Storage”下：

1.2、三方App 登录

        若你的服务，是PaaS的扩展平台服务，在你的App的基础之上，为第三方开发者提供API接入服务，可在上述流程开始，增设1个OAuth2.0的流程；首先征得”用户的同意“，三方服务，才可生效。

1.3、请求的路由守卫 

        对基于浏览器（含嵌入式浏览器）的客户端应用而言，一切，皆请求和响应，无论多页应用还是单页应用，均需要守卫上述1.1中的”自定义登录态“，任何对目标服务的请求，没有自定义登录态或自定义登录态失效，均需”重新进行登录“。

        对原生App（含多端）而言，也同样遵循“路由守卫”法则。

二、注册流程

2.1、注册流程时序图

        如上，关键是要对标“1.1、登录流程中的②、AK换取SK”。

2.2、多因素认证

        OAuth2.0第三方认证，可以是权威大厂的手机验证码、可以是公众广泛认同的第三方“互联登录”（比如“微信登录”、“QQ登录”、“支付宝登录”、“百度登录”等），也可以是它们之间的组合。

        对于“企业级”应用及“平台级”的应用，可能还会涉及“用户工商信息”的提交流程与审核流程（本案，略）。

        认证的目的：验证，请求者，是人，而非“机器”代码。

2.3、自动跳转登录页面

        进入“登录流程”。

三、涉及的技术与安全

3.1、用户许可授权

        本案，整个生命周期，都应严格按照中国“公安三所等保认证”的要求进行设计、架构和实施，以免后续不停返工。

        应当按照工信部要求， 凡是涉及用户隐私的环节，都主动出示“用户隐私保护协议”，并拉起“用户授权”的平台界面，供用户阅读与授权同意，无论html前端涉及的Cookies，还是移动App涉及的用户设备能力及其三方sdk引用，抑或是微信等私域应用所涉及的用户隐私，均需征得用户授权。

3.2、原生App权限

        ▪ Android客户端平台：AndroidManifest.xml及其相关权限代码

        ▪ Ios及MacOS客户端平台：info.plist.xml及其相关权限代码

        ▪ MSWindows客户端平台：UAC及ACL相关的权限代码

3.3、私域权限

        ▪ 涉及微信小程序等应用内的权限请求

        ▪ 涉及支付包小程序等应用内的权限请求

        ▪ 涉及百度小程序等应用内的权限请求 

3.4、加密与解密

        ▪ 对称加密AES

        ▪ 非对称加密RSA

        ▪ 国密：OpenSSL与SM2、SM4

3.5、前端相关的主要部分

        ▪ 网络三剑客：Html5 + Css3 + ES5/ES6（及其TypeScript）

        ▪ Web APIs、

        ▪ HTTP协议

        ▪ 其它主要的web开发技术

        ▪ 工程化与模块化：webpack(3/5后)、vite、Node.js相关部分

        ▪ 主要的三方框架：Vue(2/3)、React(新React)、Node.js相关部分

3.6、后端相关的主要部分

        ▪ Node.js（express）和Egg

        ▪ 编译型开发工具及其语言：C和C++、 Delphi；Java等

        ▪ 数据库：MySql、MS Sql Server、Oracle等；IndexedDB、Redis

3.7、安全相关的主要部分

        ▪ 网络协议和操作系统的安全

               ▪ ddos分布式拒绝服务攻击-Distributed Denial of Service

               ▪ 其它（太多太细，略）

        ▪ web安全-最常涉及的内容

               ▪ 同源策略与cors跨域资源共享

               ▪ CSP跨域安全策略

               ▪ 缓存相关的安全：强制缓存与协商缓存；Cache Storage、Session Storage、Cookies、Loacal Storage

               ▪ Worker专用线程、Service Worker服务线程，及其安全

               ▪ SSL、TLS及Https

               ▪ JWT（Json Web Token）

               ▪ OAuth2.0标准

               ▪ CSRF跨站请求伪造攻击与反攻击-Cross-site request forgery

                              利用站点对用户的信任骗取user info

               ▪ XSS跨站脚本攻击与反攻击-Cross Site Scripting

                              利用用户对站点的信任骗取user info

               ▪ 登录和认证-服务端（以上的技术融合，做好它是一切的前提）

               ▪ 登录和认证-客户端（以上的技术融合，做好它是一切的前提）

               ▪ 整理与归纳-涉及浏览器相关的安全领域

               ▪ 整理与归纳-涉及原生App相关的安全领域

               ▪ 整理与归纳-涉及私域应用相关的安全领域

喜欢的，就收藏并点个赞，鼓励我继续技术的原创写作及经验分享：

《大厂后台管理passportal鉴权登录的通行做法-之腾讯云研究》

需要改进的过往组件：《App账号注册登录设计》