|
手机版网站与web网站在认证保持上有很多不同,最主要原因是移动网关和浏览器兼容cookie问题,所以很多公司使用了sid与cookie方式来保持认证登陆状态。 gsid:用户登陆后根据用户名+密码+随机数根据加密算法生成出来的一个字符串。在服务器端可以解析出用户名与密码。 cookie:请google 概况: 搜狐手机微博搜狐手机微博使用cookie+sid方式保存登陆状态,在登陆的时候会种cookie,登陆成功后,加载任何页面前都会判断,如果存在cookie则不会产生附带sid的链接,如果不存在,则所有链接附带sid。退出登录后,会将原sid附加在登陆url后面,此时重新登陆生成的还是原来的sid。退出登录后,将附加在登陆url后面的sid去掉,重新登陆生成新的sid货cookie,但原来的sid或cookie仍旧可以使用。搜狐的简版和彩版,使用不同的域名 m.t.sohu.com 3g.t.sohu.com有各自独立的gsid与cookie认证方式,切换需要重新登陆。 人人网人人网使用了sid与cookie并用的方式保存登陆状态,当访问到达,会先检测cookie,如果不存在则会对访问页面所有链接统一加入sid。当退出登录,使用原先的cookie与sid登录无效,重新登陆会生成新的sid与cookie。人人网的最大特点是并不是在登陆的时候检测一次是否支持cookie,然后固定使用cookie或者gsid,而是在访问任何页面的时候都检查cookie,如果存在cookie,则页面url不附加gsid。 网易只使用cookie验证,如果手机不支持cookie,则无法登陆。退出登录后使用原来的cookie可以登陆。重新登陆会产生新的cookie,此时使用原来的cookie仍旧可以登陆。认证cookie相对其他网站较长。手机微博目前没有简版, Gmail手机版只使用cookie进行认证,退出登录后cookie失效,无法再使用原cookie登陆,重新登陆会生成新cookie,cookie有效时间很长,到2020年。目前没有简版。 腾讯微博手机版登陆认证分析测试环境: 正常网络环境下修改user-agent测试. 使用nokia手机套件走移动网关测试. 腾讯微博的认证方式,只有sid方式,在登陆后,不会种保持登陆状态的cookie,会在所有链接后面加入sid信息以保持登陆状态。即使在手机腾讯网中其他产品中已经种了sid的cookie,手机微博也不会检测该cookie,仍旧需要重新登陆。腾讯微博的sid虽然每次登陆都会变化,但目前来看也是永久有效,测试阶段使用2天前的sid仍旧可以登陆。 使用微博的sid可以直接访问QQ,会提示点击登陆,登陆后会生成新的sid,但原有sid仍旧可以使用。腾讯qq手机版的认证方式与微博相同,也是只使用sid来进行验证。 小结目前国内各网站手机版普遍使用sid与cookie相结合的方式进行登陆状态保持,策略两种: 一 以人人和搜狐为代表的用cookie做为首选认证方式,尽量使用没有sid的链接,当用户浏览器不支持cookie的时候,使用url附加sid的方式进行登陆状态保持。 二 以新浪和腾讯为代表使用sid做为主要的登录状态保持方式。 第一种方式url简单,较少直接透露用户认证信息。但由于wap网关等原因,在cookie保持上存在隐患。第二种方式主要便于接口的统一,但在所有url上增加sid,会暴露用户的认证信息。 在sid和cookie的设计上,除新浪外主要分为二种: 一 以腾讯,搜狐,网易为代表的,使生成sid与cookie每次发生变化,但无论如何变化,生成的所有sid与cookie都是可以使用的。 二 以人人为代表的,sid与 cookie一经退出是无法使用的。 第一种方式,我认为可能是在加密过程中,加入了时间等随机元素,但解密的时候,并没有对时间进行判断,所以使用旧sid与cookie仍旧可以登陆。但也有可能我们测试时间集中在一星期内,可能这个限制范围较大缘故,所以目前仍旧可以使用。 第二种方式,我认为人人是在退出登录的过程当中,将绑定给用户的一个变量自增,这样旧的sid或cookie解出的这个变量,小于这个自增变量,所以无法登陆。这种认证方式虽然安全,但需要对用户信息作额外的改造。 |
|
|
