|
锁定老帖子 主题:QQ单点登录 BUG
精华帖 (0) :: 良好帖 (13) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
|---|---|
| 作者 | 正文 |
|
发表时间:2011-10-24
waitdream 写道 这东西是有时效性,
以前是4小时,没记错的话我上次弄的时候TX已经调整到了2小时(1年), clientkey其实就是网页登陆的密码。 恩,是的。现在好几个小时。 |
| 返回顶楼 | |
|
发表时间:2011-10-24
爪哇岛岛主 写道 人家有病啊,抓包,自己的QQ用的不爽,用别人的??
不是要倒qq号码,是在空间发日志。。这种方式是盗不了号码的。 |
| 返回顶楼 | |
|
发表时间:2011-10-24
zhanzhan02 写道 爪哇岛岛主 写道 人家有病啊,抓包,自己的QQ用的不爽,用别人的??
不是要倒qq号码,是在空间发日志。。这种方式是盗不了号码的。 通过空间登录后,再定向到腾讯其他服务,就不用再登录了。 除了财付通,绝大部分服务都进去了,虽然无法盗号、改密码,但是花光你的Q币还是可以的。 危害远远不止发日志。 |
| 返回顶楼 | |
|
发表时间:2011-10-24
单点登录的时候确实有很多陷阱
cas中的service ticket都是一次性的,但是对于一个子系统还是有可能中招 |
| 返回顶楼 | |
|
发表时间:2011-10-24
学习了,以前压根没考虑过这种问题
|
| 返回顶楼 | |
|
发表时间:2011-10-24
hsiss 写道 单点登录的时候确实有很多陷阱
cas中的service ticket都是一次性的,但是对于一个子系统还是有可能中招 对,但是CAS 是要到验证server上登录,如果在自己的系统下登录那就是主动暴露了一些信息。 如果单点登录在加上ip验证,效果可能会好点。最近在研究CAS。 |
| 返回顶楼 | |
|
发表时间:2011-10-24
service ticket只能一次性使用也不能完全保证安全, 别人可以在你收到这个service ticket之前截获, 要想安全还是要用https
|
| 返回顶楼 | |
|
发表时间:2011-10-24
alexander 写道 service ticket只能一次性使用也不能完全保证安全, 别人可以在你收到这个service ticket之前截获, 要想安全还是要用https
CAS 要求就是https。 |
| 返回顶楼 | |
|
发表时间:2011-10-24
应该把时间加上了算key的吧,有时效性的
|
| 返回顶楼 | |
|
发表时间:2011-10-24
風一樣的男子 写道 应该把时间加上了算key的吧,有时效性的
这个ID 生成策略有很多。不过时效性有一部分是利用THGT实现的。 一个ticket对应一个客户端,并且有浏览器内存cookie,页面关闭TGT立刻消失。 |
| 返回顶楼 | |
