点击“蓝字”关注我们吧
菜菜哥,请教个问题呗?
说说看,能否解决不敢保证哦
最近做的App业务中,有很多敏感操作需要用户输入手机验证码
这没问题,手机验证码主要是为了验证当前操作人的有效性,有什么问题呢?
如果有数的几个操作还可以,但是系统有很多敏感操作,已经有用户反馈太麻烦了
敏感操作验证用户的有效性是肯定要加的,那你想怎么做呢?
我也不知道,所以才想请教你哦
这个嘛
验证用户的有效性或者安全性,是每个系统必备的安全措施,在移动端优先的时代,利用手机验证码来验证用户,算是安全系数比较高的手段。放眼当下几乎所有的互联网应用几乎都开放了手机验证码登录,而且应用内的敏感操作都需要手机验证码或者指纹,甚至面部识别来确定当前操作人的权限。
抛开其他端,单就移动端App方式而言,如果用户频繁进行敏感操作,需要频繁发送验证码,其实在用户体验上并不友好,况且短信费用也随之增加。就App形式而言,验证一个用户的有效性其实可以演变为验证设备的有效性,即:当前人在当前设备上是否可信。
确实是这样,利用验证码方式最终目的也是验证的这个设备的安全性
所以如果有办法验证设备的安全性,就没有必要让同一个用户在同一个设备上频繁输入凭证了
那有什么办法呢?
用户设备的安全,首先得有设备标示才行,如果抛开web应用,单就App来说,这个很容易,只是客户端一个设备号而已。而且我们这里讨论的也是非Web的环境。
以下讨论只针对非Web(浏览器)环境,Web环境其实也可以根据浏览器的信息来生成一个类似设备标示的代码
很多系统在设计之初,就已经考虑到安全主设备的概念,就像微信,如果在同一个手机上打开是不需要每次都进行登录操作的。进行设备验证是每个安全系统比较重要的部分,推荐在系统设计之初就要考虑。回归正题,对于很多行业来说,用户在App内频繁进行一些敏感操作是很正常的,比如我所在的在线教育行业,老师会很频繁的在一个班级内添加学生和老师(我们认为这些操作属于敏感操作)。如果每次都需要老师发送验证码来进行操作,那交互上真的是太不友好。要想保证业务操作的安全性以及改善交互操作,我们就需要抽象出问题的根本所在。
发送验证码操作最终的目的是为了验证操作人是操作人,听起来很绕是不是。实现这个最终目的,其实有很多解决方案,其中用户可信设备就属于其中一类,而手机验证码方式又是用户可信设备实现的一种方式,具体来说有几点:
1. 用户利用手机验证码在这个设备上进行过敏感操作,就认为这个设备在一段时间内是可信任的。
2. 用户在可信任的设备上进行其他敏感操作,如果在有效期内,就可以做到不发送验证码
3. 用户的敏感操作也可以进行分级,最高敏感级必须输入验证码才可以进行操作(比如重置密码,验证码登陆),一般敏感级在可信设备有效期内可以不输入验证码。
基于以上所说,系统设计的时候就可以抽象出一个用户可信设备中心,包括敏感操作的定义,可信设备的有效时长,可信设备的定义(比如:验证码通过的设备可定义为有效设备)等等概念。通过这样设计,短信验证只不过成为验证用户信任设备的一种途经,完全可以做到和具体业务无关(敏感级别最高操作除外),一般敏感的操作业务接口也可以避免添加验证码参数,真正的把验证和业务相分离,岂不美哉?
经过这样抽象,用户可信设备中心其实本质的接口只有几个:
1. 验证设备是否有效
2. 设置设备有效
3. 设备有效的途经(例如短信验证码方式)
当然你的系统首先要有设备的概念,如果非要写几行代码的话
1. 验证设备有效
public async Task<int> CheckUserDevice(UserDeviceReq para){if (para == null || string.IsNullOrWhiteSpace(para.DeviceName) || para.UserId <= 0){return 0;}//检查签名var sign = EncrypHelper.MD5Encrypt($"{SysConfig.SecretKey}_{para.UserId}_{para.DeviceName}");if (sign != para.Sign){return 0;}string key = $"{para.UserId}_{para.DeviceName}";var authRet = await RedisClient.GetString(key);if (string.IsNullOrWhiteSpace(authRet)){//告诉客户端需要短信验证码return 414000;}return 1;}
2. 设置设备有效
public async Task<int> SetUserDevice(UserDeviceReq para){if (para == null || string.IsNullOrWhiteSpace(para.DeviceName) || para.UserId <= 0){return 0;}//检查签名var sign = EncrypHelper.MD5Encrypt($"{SysConfig.SecretKey}_{para.UserId}_{para.DeviceName}");if (sign != para.Sign){return 0;}string key = $"{para.UserId}_{para.DeviceName}";var cacheRet = await RedisClient.GetString(key);if (string.IsNullOrWhiteSpace(cacheRet)){UserDeviceInfo value = new UserDeviceInfo() { UserId = para.UserId, DeviceName = para.DeviceName, OperationCode = para.OperationCode, CreateDate = DateTime.Now, Context = "" };var userDeviceExp = SysConfig.GetAppSetting("Config:UserDeviceExpire");if (string.IsNullOrWhiteSpace(userDeviceExp)){userDeviceExp = "300";}var authRet = await RedisClient.SetString(key, JsonConvert.SerializeObject(value), TimeSpan.FromMinutes(int.Parse(userDeviceExp)));if (!authRet){return 0;}}return 1;}
完
●程序员过关斩将-- 喷一喷坑爹的面向UI编程
●程序员过关斩将--redis做消息队列,香吗?
●程序员修神之路--有了容器为什么kubernetes还需要Pod?
●程序员修神之路--为什么我会了SOA,你们还要逼我学微服务?
●程序员过关斩将--要想获取我的用户信息,就得按照规矩来
●程序员过关斩将--更加优雅的Token认证方式JWT
●程序员过关斩将--cookie和session的关系其实很简单
●程序员修神之路--用NOSql给高并发系统加速
●程序员修神之路--高并发系统设计负载均衡架构
●程序员过关斩将--你为什么还在用存储过程?
●程序员修神之路--问世间异步为何物?
●程序员修神之路--提高网站的吞吐
长按添加菜菜好友
关注后回复:“大礼包”和“福利”,领取惊喜