男的舔女的下面视频在线播放-少妇愉情理仑片高潮日本-久久久久久国产一区二区三区-麻豆精品一区二区综合-国产精品超碰在线观看-网红极品女神精品视频在线-国产亚洲综合777-高清性视频一区二区播放-中文字幕第一页亚洲天堂

Discuz! 官方交流社區(qū)

標(biāo)題: 有沒有大神知道discuz的cookie的加密機(jī)制啊？ [打印本頁]

作者: 一劍橫天 時(shí)間: 2023-4-12 20:06
標(biāo)題: 有沒有大神知道discuz的cookie的加密機(jī)制啊？
我們的一個(gè)electron的項(xiàng)目，需要打開discuz網(wǎng)頁，然后登錄discuz，之后客戶端這邊想同步登陸這個(gè)discuz賬號(hào)，目前能獲得該賬號(hào)的cookie，但是不知道怎么用這個(gè)cookie獲得該賬號(hào)的用戶信息，如uid。

所以想請問下這個(gè)cookie的加密方式具體是怎樣的？客戶端除了傳cookie值過來，還需要傳哪幾個(gè)參數(shù)過來呢？

作者: 專家 時(shí)間: 2023-4-13 01:00
cookie要是在客戶端解密那可就壞了，加密就是為了用戶那邊無法解密啊，直接在用戶那邊解密，等同于你把最高權(quán)限交給用戶了。
用戶一側(cè)想要獲取uid，直接在網(wǎng)頁里讀discuz_uid這個(gè)值就行了。

重要的邏輯一定要在服務(wù)器端執(zhí)行，用戶端只負(fù)責(zé)展示服務(wù)器端輸出的結(jié)果才是最好的。

作者: 一劍橫天 時(shí)間: 2023-4-14 13:03

專家發(fā)表于 2023-4-13 01:00
cookie要是在客戶端解密那可就壞了，加密就是為了用戶那邊無法解密啊，直接在用戶那邊解密，等同于你把最高 ...

不是客戶端解密，而是客戶端把cookie發(fā)給后臺(tái)，后臺(tái)解密后把解密的結(jié)果發(fā)給客戶端，告知客戶端這個(gè)用戶ID是哪個(gè)

作者: crx349 時(shí)間: 2023-4-14 13:05
electron的項(xiàng)目打開discuz網(wǎng)頁不需要用cookie

建議流程：1.插件地址 2.自定義生成一共token 3.electron訪問這個(gè)插件地址自動(dòng)登陸

作者: 一劍橫天 時(shí)間: 2023-4-14 13:35

crx349 發(fā)表于 2023-4-14 13:05
electron的項(xiàng)目打開discuz網(wǎng)頁不需要用cookie

建議流程：1.插件地址 2.自定義生成一共token 3.electron ...

這個(gè)就相當(dāng)于自己寫一個(gè)cookie或者token規(guī)則唄

作者: crx349 時(shí)間: 2023-4-14 14:32

一劍橫天發(fā)表于 2023-4-14 13:35
這個(gè)就相當(dāng)于自己寫一個(gè)cookie或者token規(guī)則唄

就是用token 不用cookie

作者: 專家 時(shí)間: 2023-4-14 17:14

一劍橫天發(fā)表于 2023-4-14 13:03
不是客戶端解密，而是客戶端把cookie發(fā)給后臺(tái)，后臺(tái)解密后把解密的結(jié)果發(fā)給客戶端，告知客戶端這個(gè)用戶ID ...

你這個(gè)流程，cookie不需要專門解密，直接帶cookie發(fā)請求給discuz，返回的信息里就有你要的數(shù)據(jù)了。
比方說帶著cookie隨便訪問一個(gè)discuz的頁面，返回的頁面里都必然包含uid。不需要特意去請求。
你既然都用網(wǎng)頁登錄了，還能識(shí)別到是否登錄，說明你有和網(wǎng)頁交互的能力，直接讀取網(wǎng)頁里的discuz_uid就行了啊，為什么還要單獨(dú)實(shí)現(xiàn)呢？

如果你就是想單獨(dú)請求一次（沒必要），discuz有專門的mobile api，你帶cookie去請求api也可以拿到一串json，解碼了里面就有你需要的數(shù)據(jù)。總之不管怎么說這個(gè)你是不需要單獨(dú)實(shí)現(xiàn)的。

作者: 一劍橫天 時(shí)間: 2023-4-14 18:00

專家發(fā)表于 2023-4-14 17:14
你這個(gè)流程，cookie不需要專門解密，直接帶cookie發(fā)請求給discuz，返回的信息里就有你要的數(shù)據(jù)了。
比方 ...

網(wǎng)頁登錄后，客戶端并無法識(shí)哪個(gè)用戶登錄，只能得到他的cookie，然后把cookie給后臺(tái)，后臺(tái)得先解密得到用戶的uid才能登錄，不過目前后臺(tái)說找到解密cookie的方法了，在測試了，希望能成功吧

作者: 專家 時(shí)間: 2023-4-14 21:38

一劍橫天發(fā)表于 2023-4-14 18:00
網(wǎng)頁登錄后，客戶端并無法識(shí)哪個(gè)用戶登錄，只能得到他的cookie，然后把cookie給后臺(tái)，后臺(tái)得先解密得到用 ...

你的后臺(tái)不是discuz框架，而是額外單獨(dú)做了個(gè)程序么？cookie是能解密，但是你這么做不科學(xué)，有更合理簡單的實(shí)現(xiàn)方式。??

作者: 一劍橫天 時(shí)間: 2023-4-19 23:37

專家發(fā)表于 2023-4-14 21:38
你的后臺(tái)不是discuz框架，而是額外單獨(dú)做了個(gè)程序么？cookie是能解密，但是你這么做不科學(xué)，有更合理簡單 ...

我們現(xiàn)在就是解密后然后傳給客戶端登錄了。。。

作者: 專家 時(shí)間: 2023-4-22 17:13

一劍橫天發(fā)表于 2023-4-19 23:37
我們現(xiàn)在就是解密后然后傳給客戶端登錄了。。。

解密后的數(shù)據(jù)傳給客戶端，基本上等同于客戶端可以隨意篡改，拿這樣的數(shù)據(jù)當(dāng)憑據(jù)登錄，你只能指望沒有懂技術(shù)的人用你們的客戶端了，遇上懂的人你這個(gè)直接就被破解了

作者: qwexiamen 時(shí)間: 2023-4-24 16:46
學(xué)習(xí)來了

作者: 科站網(wǎng) 時(shí)間: 2023-4-24 16:59
不應(yīng)該是吧cookie給你的后端，然后解密后提供用戶信息給你的前端嗎

作者: 一劍橫天 時(shí)間: 2023-4-25 10:09

專家發(fā)表于 2023-4-22 17:13
解密后的數(shù)據(jù)傳給客戶端，基本上等同于客戶端可以隨意篡改，拿這樣的數(shù)據(jù)當(dāng)憑據(jù)登錄，你只能指望沒有懂技 ...

這樣嗎？我們目前的想法就是，解密后得到用戶的ID、會(huì)員信息等，判定其是VIP會(huì)員即可。你的意思是客戶端被破解后，可以隨意認(rèn)定自己的賬號(hào)和會(huì)員了嗎

作者: 一劍橫天 時(shí)間: 2023-4-25 10:10

科站網(wǎng) 發(fā)表于 2023-4-24 16:59
不應(yīng)該是吧cookie給你的后端，然后解密后提供用戶信息給你的前端嗎

目前是這樣的，不過樓上有人說這樣不安全

作者: ehxz 時(shí)間: 2023-4-25 10:29
UCCENTER就是解決這個(gè)問題的，可以進(jìn)去看一下。參照做接口就OK了

作者: 科站網(wǎng) 時(shí)間: 2023-4-25 10:30

一劍橫天發(fā)表于 2023-4-25 10:10
目前是這樣的，不過樓上有人說這樣不安全

根據(jù)你的描述，你是前端解密，那肯定不安全啊，后端解密就沒這個(gè)問題

歡迎光臨 Discuz! 官方交流社區(qū) (http://m.sdtechgong.com.cn/)