世界上最安全的密码是不存在的密码。 使用完全随机的密钥从等式中删除用户。 公平地说,这有一些缺点,并且密码仍然存在于某个地方(在您的电话/电子邮件中),但通常效果很好。
诀窍很简单,如果我们想对用户进行身份验证,我们可以通过电子邮件向他发送单个使用网址,例如mycoolapp://act-32548b09-d328-4330-8243-d7d30c322e40 。 如您所见,这很难猜测或蛮力。 一旦单击,URL就会变得无效,因此即使以某种方式公开了该URL仍然是无关紧要的。 为此,我们需要两个部分:
- 服务器逻辑
- 客户端URL处理
两者都很容易。
服务器
一个警告是mycoolapp将在设备上运行,但是您无法在电子邮件或浏览器中单击它。 因此,我们需要您服务器上的https URL。
服务器看起来像这样,请注意,这是Spring Boot Controller代码,但是您应该可以使用那里的任何服务器:
public boolean sendSigninEmail(String e) {List<UserObj> ul = users.findByEmailIgnoreCase(e);if(ul.isEmpty()) {return false;}UserObj u = ul.get(0);u.setHashedActivationToken(UUID.randomUUID().toString()); (1)users.save(u); (2)email.sendEmail(e, "Signin to the Codename One App", "This is a one time link to activate the Codename One App. Click this link on your mobile device: \n\nhttps://ourserverurl.com/app/activateURL?token=act-" + u.getHashedActivationToken()); (3)return true;
}
public User activateViaToken(String t) throws ServerAppAPIException {List<UserObj> ul = users.findByHashedActivationToken(t); (4)if(ul.isEmpty()) {throw new ServerAppAPIException(ServerErrorCodes.NOT_FOUND);}UserObj u = ul.get(0);String val = u.getAppToken(); (5)u.setHashedActivationToken(null); (6)users.save(u);User r = u.getUser();r.setAppToken(u.getAppToken());return r;
}| 1个 | 我们使用UUID生成长激活字符串 |
| 2 | 我们将其保存在数据库中,覆盖旧的URL(如果存在) |
| 3 | 我们可以发送带有HTTPS URL的电子邮件或SMS来激活应用程序 |
| 4 | 接下来,我们使用收到的令牌激活用户帐户。 我们找到正确的帐户条目 |
| 5 | 访问令牌是服务器生成的安全密码,它是完全随机的,并且仅对应用程序可见 |
| 6 | 现在删除了URL中使用的激活令牌,从而使URL成为一次性使用工具 |
所有这些大部分都很简单,但是仍然缺少一个。 我们的应用程序需要一个mycoolapp URL,而HTTPS URL不会启动它。 解决方案是302重定向:
@RequestMapping(value="/activateURL", method=RequestMethod.GET)
public void activateURL(@RequestParam String token, HttpServletResponse httpServletResponse) {httpServletResponse.setHeader("Location", "mycoolapp://" + token);httpServletResponse.setStatus(302);
} 这会自动将设备发送到mycoolapp URL,并使用令牌启动您的应用程序!
客户端
在客户端上,我们需要截获mycoolapp URL并进行解析。 首先,我们需要添加两个新的构建提示:
android.xintent_filter=<intent-filter> <action android:name="android.intent.action.VIEW" /> <category android:name="android.intent.category.DEFAULT" /> <category android:name="android.intent.category.BROWSABLE" /> <data android:scheme="mycoolapp" /> </intent-filter>
ios.plistInject=<key>CFBundleURLTypes</key> <array> <dict> <key>CFBundleURLName</key> <string>com.mycompany.myapp.package.name</string> </dict> <dict> <key>CFBundleURLSchemes</key> <array> <string>mycoolapp</string> </array> </dict> </array>不要忘记将
mycoolapp和com.mycompany.myapp.package.name修复为应用程序中的适当值
接下来,我们要做的就是在start()方法中检测URL。 这需要驻留在检查当前Form的代码之前:
String arg = getProperty("AppArg", null); (1)
if(arg != null) {if(arg.contains("//")) { (2)List<String> strs = StringUtil.tokenize(arg, "/");arg = strs.get(strs.size() - 1);while(arg.startsWith("/")) {arg = arg.substring(1);}}if(!arg.startsWith("act-")) { (3)showLoginForm();callSerially(() ->Dialog.show("Invalid Key", "The Activation URL is invalid", "OK", null));return;}arg = arg.substring(4);Form activating = new Form("Activating", new BorderLayout(BorderLayout.CENTER_BEHAVIOR_CENTER));activating.add(CENTER, new InfiniteProgress());activating.show();sendActivationTokenToServer(arg); (4)return;
}| 1个 | 这是从全球导入的CN类中获得的。 app参数是URL |
| 2 | 我们删除参数的URL部分 |
| 3 | 使用act-前缀可以验证URL是否正确 |
| 4 | 这会将激活密钥发送到我们上面讨论的服务器逻辑 |
在模拟器中测试
这将适用于iOS和Android。 从下周开始,您还可以使用模拟器中新的“发送应用程序自变量”菜单选项在模拟器上进行测试。
要将其正确集成到应用中,通常需要一个登录菜单,该菜单仅接受电子邮件/电话。 或基于Web的UI中的系统将邀请链接发送到该应用。
Whatsapp使用此技巧的反面来激活其桌面应用程序。 他们会向您的设备显示一个QR码,一旦您使用whatsapp手机扫描该QR码,就会激活桌面版本。 这比密码要好得多。
翻译自: https://www.javacodegeeks.com/2018/09/tip-activate-via-url-and-send-arguments.html
![前端开始学java_[Java教程]开启前端学习之路](http://pic.xiahunao.cn/前端开始学java_[Java教程]开启前端学习之路)
)
)
