分为两个部分
1.自平台的安全
1.表单令牌(随机string 防止重复请求)
2.白名单(ip控制[域名控制])
3.cookie(only 代替session)
4.时间戳(确保实效性)
2.api接口的安全
1.通过 appid,secret,type 获取access_token
2.通过 appid+access_token+(随即字符串[State]+时间戳) 确保数据一致性
3.白名单
——————————————————
Oauth 授权模式标准模式是:
访问官方地址获取临时code(授权码)
通过临时code和AppID和AppSecret等换取access_token
通过access_token获取用户基本操作
______________________________________
另外就是 通过
appid,secret,type 等参数来获取 access_token
每次其他操作都用access_token + app_id 一起操作,进行验证。
_______________________________
两种常用模式
- JWT 认证模式
- 用户用户认证 确认用户信息
- 授权模式
- 判定用户是否有权限 访问指定的资源