- 主题:动态密码登录 的架构是怎么设计的?
中国移动的用户有 手机号+服务密码,这个手机号应该是个主键,但他们的网页还提供动态密码登录,就是输入手机号以后,往手机发送几位数的验证码,根据验证码正确与否允许用户登录。看这里:
https://service.sh.10086.cn/prx/000/http/smcc.com/index.jsp
登录模式:动态密码
手机号码:139xxxxxxxxx
动态密码:xxxxxx (获取按钮)
(登录按钮)
谁能解释下移动这种认证机制的架构?
--
FROM 58.23.13.*
是不是有个三层结构的说法?然后所有验证都在中间层自己写?
【 在 pengtu (土人·天问) 的大作中提到: 】
: 中国移动的用户有 手机号+服务密码,这个手机号应该是个主键,但他们的网页还提供动态密码登录,
--
FROM 58.23.13.*
我就是困惑二层结构的实现啊,提示一下吧!
【 在 JulyClyde (我的月份过去了) 的大作中提到: 】
: 你这是简单问题复杂化啊
: 难道没有三层结构就不能实现了?
--
FROM 58.23.13.*
有问题,如果用户的验证码正确,怎么登录DB?
前提条件里面,并没有说一定有 用户的DB密码啊。
【 在 JulyClyde (我的月份过去了) 的大作中提到: 】
: 二层结构不就是直接读写数据库嘛
: 可以在数据库里写个临时表,标明有效期、手机号、验证码
: 登录的时候随机生成,保存到上述表里,同时发短信
--
修改:pengtu FROM 58.23.13.*
FROM 58.23.13.*
求拍醒
【 在 N92 (打雷要下雨) 的大作中提到: 】
: 做项目做傻了吧
--
FROM 58.23.13.*
我一直以为,不能直接登录DB的DB用户,就叫做组用户。
按你的说法,还有DB是允许组用户自己也能登录的?
还是说,这个组用户,只是自己定义的业务概念,类似于公共用户,允许很多连接数的那种?
【 在 shen (神~~) 的大作中提到: 】
: 组帐户
: 比如来自移动的登录,统一使用 chinamobile:777
--
FROM 58.23.13.*
两种方法都存在,常见的做法是一个手机号对应用户表的一行记录而已,要连DB就用公共账户或“组用户”。
如果不明文保存用户密码,做动态登录就必须采用常见的这一用户认证方法。
我就想问,少见的DB用户直接认证的方法,能不能也做到动态密码?
【 在 aotian (aotian) 的大作中提到: 】
: 不会是一个手机用户就对应一个DB用户吧?
--
修改:pengtu FROM 58.23.13.*
FROM 58.23.13.*
我改了。理越辩越明啊。
【 在 oldwatch (一条叫java的鱼◎希望在空中飘) 的大作中提到: 】
: 动态登陆和密码明文保存又有啥关系?
--
FROM 58.23.13.*
上次问的时候,有人说看到过失败的例子,被人摸进DB黑掉了。。。
网上一些主机提供ssh登录,这个ssh的账户是OS的还是啥的?
【 在 JulyClyde (我的月份过去了) 的大作中提到: 】
: 不是少见。你那种用法根本就不存在
--
FROM 58.23.13.*
超级用户未必能查到DB用户的密码。。。
【 在 sayinger (言者) 的大作中提到: 】
: 当然可以做,先用个超级用户把DB用户的账号密码查出来,然后再拿用户自己的账号密码登录呗。问题是这么脱裤子放屁是为了什么...
--
FROM 58.23.13.*