[請益] 客戶在客戶端登入他公司帳戶

看板Soft_Job作者 (單身老王)時間7年前 (2016/09/03 20:00), 7年前編輯推噓12(12022)
留言34則, 14人參與, 最新討論串1/1
各位先進 前輩 大家好 最近遇到一個案子 內容比較特殊 使用情境為: 有 A 與 B 兩家公司 A 公司希望能撰寫一個客戶端 讓客戶使用 此客戶端 又同時能夠使用 B 公司的網路服務功能 如何運用 B 公司網路服務功能 我已經驗證了可行性 但要使用 B 公司的服務功能時 必須要讓使用者登入 B 公司的會員系統 我的問題是: 用戶必須在 A 公司的軟體上 輸入 B 公司會員的帳戶密碼 一般而言 用戶是會不放心的 當然我也想極力避免 但無論如何 一定都要輸入一次帳戶密碼 我想請問 要如何讓用戶放心? 加密解密一定會有 但是在伺服器處理時 一定得將用戶的密碼解密 -- 「看重小利的人,不會有大價值。」 ── 安德烈·科斯托蘭尼 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.25.39.52 ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1472904050.A.6F4.html ※ 編輯: bachelorwhc (114.25.39.52), 09/03/2016 20:01:21
09/03 20:07, , 1F
和B公司商量,要一個使用加密後密碼登入的api
09/03 20:07, 1F
兩個市場有衝突 屬於競爭者 所以不太可能談 ※ 編輯: bachelorwhc (114.25.39.52), 09/03/2016 20:10:35
09/03 20:12, , 2F
oauth不就是為了這個情境?
09/03 20:12, 2F
09/03 20:19, , 3F
oauth是 但是如果b公司沒提供這個api應該也是會有問題
09/03 20:19, 3F
09/03 20:19, , 4F
要看b公司的登入機制怎麼做 如果是用token去請資料並
09/03 20:19, 4F
09/03 20:19, , 5F
且沒有過期的問題那應該就可行
09/03 20:19, 5F
09/03 20:20, , 6F
主要還是redirect_uri的問題沒辦法解決
09/03 20:20, 6F
這個方法我想過 可能會把既有的auth token找出來 但是沒實驗過 也不知道可行性
09/03 20:22, , 7F
講實在話,既然B不會同意提供這個api 那在a公司的軟體
09/03 20:22, 7F
09/03 20:23, , 8F
使用b公司的功能這件事很可能會有侵權問題 這等於是把
09/03 20:23, 8F
09/03 20:23, , 9F
b公司的服務提供給競爭者a公司的客戶使用 遲早會被告的
09/03 20:23, 9F
我也在想這個問題QQ 怕到時候出事找到我頭上來
09/03 20:31, , 10F
就把用B網站的功能做成CSRF XD
09/03 20:31, 10F
※ 編輯: bachelorwhc (114.25.39.52), 09/03/2016 20:36:27
09/03 21:06, , 11F
反向思考 提供API讓B公司的軟體登入A公司會員 (咦?)
09/03 21:06, 11F
做不到啊啊啊啊~ ※ 編輯: bachelorwhc (114.25.39.52), 09/03/2016 21:17:26
09/03 22:43, , 12F
B公司可能提供任何support? 不然乾脆請b公司開vpn好了
09/03 22:43, 12F
無法 使用B公司的網路服務是透過非官方的手法 ※ 編輯: bachelorwhc (114.25.39.52), 09/03/2016 22:54:59
09/03 23:44, , 13F
不就在A軟體登入畫面改成B系統風格,讓用戶覺得是在B
09/03 23:44, 13F
09/03 23:45, , 14F
系統一樣就好,就像是現在的第三方網站用FB登入一樣
09/03 23:45, 14F
09/03 23:48, , 15F
樓上那是釣魚網站吧XD
09/03 23:48, 15F
不瞞你說 我真的考慮過
09/03 23:50, , 16F
這種公司,直接登出吧
09/03 23:50, 16F
09/04 00:15, , 17F
你要拿客戶的帳密來登入B網站,就一定要知道客戶的B
09/04 00:15, 17F
09/04 00:15, , 18F
網站帳密,這做法客戶一定不放心。另一種方式就是客
09/04 00:15, 18F
09/04 00:15, , 19F
戶登入B網站你想辦法拿到B網站給客戶的session,或許
09/04 00:15, 19F
09/04 00:15, , 20F
透過類似木馬程式的方式監控取得session,這個不懂電
09/04 00:15, 20F
09/04 00:15, , 21F
腦的客戶可能放心一點其實更危險XD
09/04 00:15, 21F
後來我們有找花錢消災的解法(B公司有賣) 只是這樣我就賺不到這筆了QQ ※ 編輯: bachelorwhc (114.25.39.52), 09/04/2016 00:19:53
09/04 00:38, , 22F
回原po,別賺這筆了,很危險的感覺
09/04 00:38, 22F
09/04 01:04, , 23F
對方公司也算是認真在做產品 請我們先評估可行性
09/04 01:04, 23F
09/04 01:04, , 24F
相信他們應該也會慎重考慮法律問題
09/04 01:04, 24F
09/04 01:39, , 25F
其實也還好啦 你換個角度想 就像是zmud這種第三方軟體
09/04 01:39, 25F
09/04 01:39, , 26F
也是一樣會幫user存帳號密碼方便自動登入
09/04 01:39, 26F
09/04 01:40, , 27F
你存在local不要往A公司的後端送應該就還好吧
09/04 01:40, 27F
09/04 01:40, , 28F
或者說像是什麼moptt jptt這種也是差不多
09/04 01:40, 28F
09/04 02:11, , 29F
這樣說也是吼 恍然大悟!
09/04 02:11, 29F
09/04 03:54, , 30F
內嵌b公司會員登入頁面,應該可以,也不違法?
09/04 03:54, 30F
09/04 03:55, , 31F
只是這要求蠻奇怪的,等於是a公司用自己產品幫b公司打廣告
09/04 03:55, 31F
09/04 04:41, , 32F
當你的產品有一點的競爭優勢時其實使用者根本不care._.
09/04 04:41, 32F
09/04 04:41, , 33F
不過唯一的部分可能涉及法律問題
09/04 04:41, 33F
09/04 07:18, , 34F
出事絕對咬你0.0
09/04 07:18, 34F
更多 bachelorwhc 的文章
文章代碼(AID): #1NohjoRq (Soft_Job)