java url参数转换:
世界上最安全的密码是不存在的密码。 使用完全随机的密钥从等式中删除用户。 公平地说,这有一些缺点,并且密码仍然存在于某处(在您的电话/电子邮件中),但通常这样效果很好...
诀窍很简单,如果我们想验证用户身份,我们可以通过电子邮件向他发送单个使用URL,例如mycoolapp://act-32548b09-d328-4330-8243-d7d30c322e40 。 如您所见,这很难猜测或蛮力。 一旦单击,URL就会变得无效,因此即使以某种方式公开了该URL仍然是无关紧要的。 为此,我们需要两个部分:
- 服务器逻辑
- 客户端URL处理
两者都很容易。
服务器
一个警告是mycoolapp将在设备上运行,但是您无法在电子邮件或浏览器中单击它。 因此,我们需要您服务器上的https URL。
服务器看起来像这样,请注意这是Spring Boot Controller代码,但是您应该可以在其中使用任何服务器:
public boolean sendSigninEmail(String e) {
List<UserObj> ul = users.findByEmailIgnoreCase(e);
if(ul.isEmpty()) {
return false;
}
UserObj u = ul.get(0);
u.setHashedActivationToken(UUID.randomUUID().toString()); (1)
users.save(u); (2)
email.sendEmail(e, "Signin to the Codename One App", "This is a one time link to activate the Codename One App. Click this link on your mobile device: \n\nhttps://ourserverurl.com/app/activateURL?token=act-" + u.getHashedActivationToken()); (3)
return true;
}
public User activateViaToken(String t) throws ServerAppAPIException {
List<UserObj> ul = users.findByHashedActivationToken(t); (4)
if(ul.isEmpty()) {
throw new ServerAppAPIException(ServerErrorCodes.NOT_FOUND);
}
UserObj u = ul.get(0);
String val = u.getAppToken(); (5)
u.setHashedActivationToken(null); (6)
users.save(u);
User r = u.getUser();
r.setAppToken(u.getAppToken());
return r;
}1个 | 我们使用UUID生成长激活字符串 |
2 | 我们将其保存在数据库中,覆盖旧的URL(如果存在) |
3 | 我们可以发送带有HTTPS URL的电子邮件或SMS来激活应用程序 |
4 | 接下来,我们使用收到的令牌激活用户帐户。 我们找到正确的帐户条目 |
5 | 访问令牌是服务器生成的安全密码,它是完全随机的,并且仅对应用程序可见 |
6 | 现在删除了URL中使用的激活令牌,从而使URL成为一次性使用工具 |
所有这些大部分都很简单,但是仍然缺少一个。 我们的应用程序需要一个mycoolapp URL,而HTTPS URL不会启动它。 解决方案是302重定向:
@RequestMapping(value="/activateURL", method=RequestMethod.GET)
public void activateURL(@RequestParam String token, HttpServletResponse httpServletResponse) {
httpServletResponse.setHeader("Location", "mycoolapp://" + token);
httpServletResponse.setStatus(302);
} 这会将设备自动发送到mycoolapp URL,并使用令牌启动您的应用程序!
客户端
在客户端上,我们需要截获mycoolapp URL并进行解析。 首先,我们需要添加两个新的构建提示:
android.xintent_filter=<intent-filter> <action android:name="android.intent.action.VIEW" /> <category android:name="android.intent.category.DEFAULT" /> <category android:name="android.intent.category.BROWSABLE" /> <data android:scheme="mycoolapp" /> </intent-filter>
ios.plistInject=<key>CFBundleURLTypes</key> <array> <dict> <key>CFBundleURLName</key> <string>com.mycompany.myapp.package.name</string> </dict> <dict> <key>CFBundleURLSchemes</key> <array> <string>mycoolapp</string> </array> </dict> </array>不要忘记将
mycoolapp和com.mycompany.myapp.package.name修复为应用程序中的适当值
接下来,我们要做的就是在start()方法中检测URL。 这需要驻留在检查当前Form的代码之前:
String arg = getProperty("AppArg", null); (1)
if(arg != null) {
if(arg.contains("//")) { (2)
List<String> strs = StringUtil.tokenize(arg, "/");
arg = strs.get(strs.size() - 1);
while(arg.startsWith("/")) {
arg = arg.substring(1);
}
}
if(!arg.startsWith("act-")) { (3)
showLoginForm();
callSerially(() ->
Dialog.show("Invalid Key", "The Activation URL is invalid", "OK", null));
return;
}
arg = arg.substring(4);
Form activating = new Form("Activating", new BorderLayout(BorderLayout.CENTER_BEHAVIOR_CENTER));
activating.add(CENTER, new InfiniteProgress());
activating.show();
sendActivationTokenToServer(arg); (4)
return;
}1个 | 这是从全球导入的 |
2 | 我们删除参数的URL部分 |
3 | 使用 |
4 | 这会将激活密钥发送到我们上面讨论的服务器逻辑 |
在模拟器中测试
这将适用于iOS和Android。 从下周开始,您还可以使用模拟器中新的“发送应用程序自变量”菜单选项在模拟器上进行测试。
要将其正确集成到应用程序中,通常需要一个仅接受电子邮件/电话的登录菜单。 或基于Web的UI中的系统将邀请链接发送到应用程序。
Whatsapp使用此技巧的反面来激活其桌面应用程序。 他们会在您的设备上显示QR码,一旦您使用whatsapp手机扫描该QR码,就会激活桌面版本。 那比密码好得多。
翻译自: https://www.javacodegeeks.com/2018/09/tip-activate-via-url-and-send-arguments.html
