c***d
发帖数: 996 | 1 到一台没有认证的电脑上, 打开浏览器, 去web.wechat.com.
浏览器显示一个二维码。
用手机wechat 扫这个qr code, 手机提示是否可以登陆。
手机确认登陆, 电脑的浏览器就登陆wechat了。
怎么实现的? | c***d
发帖数: 996 | 2 这个qr code翻译过来是个14位hex。是否说这个是server 给的一个unique login
session place holder。 手机上有credential, scan的时候手机把手机上存的
credential加这个login session id发到login server上, 如果认证成功, server
就认证这个session用这个用户登陆。
感觉不太安全啊。server的session id不能重复, 否则我扫了一下把别人的browser
session认证了我的credential。还有一个问题是手机认证成功以后, 回来browser
session认证怎么解决的, 类似csrf?
【在 c***d 的大作中提到】
: 到一台没有认证的电脑上, 打开浏览器, 去web.wechat.com.
: 浏览器显示一个二维码。
: 用手机wechat 扫这个qr code, 手机提示是否可以登陆。
: 手机确认登陆, 电脑的浏览器就登陆wechat了。
: 怎么实现的?
| g*****g
发帖数: 34805 | 3 Why is that not secure, the server only showed a ransom session that belongs
to nobody. Your phone takes the code and authenticate with credentials to
make it yours.
It's like you only need session cookie after authentication. |
|
