在腾讯文档 Web 端,可以扫描小程序码登录。扫描后,微信打开小程序的同时,Web 端也登录了。这种方式挺有新颖的,还能给小程序引流,有心人可以发掘下更多玩法,不过今天我想讨论另外一个问题。
上文的 Web 扫码登录,这并不是 OAuth 授权方式,这应该是通过小程序码的 场景二维码 实现的: Web 端登录二维码是带参数的场景二维码,打开小程序的时候,小程序接收到自定义参数,后端找到对应的 Web 会话,完成登录。
这里的问题是,扫描场景二维码打开腾讯文档小程序的时候,该小程序里并没有任何关于正在登录 Web 端的提示,与扫描普通二维码的交互无异;而且普通的小程序码和带参数的小程序码,单独看是没办法分辨的,普通用户更加不会留意。
这其中就有了安全风险了:
更好的方式:
每次扫描登录 Web 端,小程序应该给出提示,并且可以显示所有会话信息,提供「下线」操作。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.