2015-10-26

• elleryq says: 今天在想 flipboard 或微信網站產生 QRCode，讓手機 app 掃描後就登入是怎麼做的。
  • 黑***緒 :: 我想到的做法：產生一個GUID之類的隨機值當key, 在Server端可對應到指定的帳號身分，由於GUID無從預測推算有一定的安全度，app掃瞄以URL方式將GUID交給Server驗證，Server告知帳號身分後視同已登入，並將該GUID註銷使其只具一次性，同時最好加上時效，GUID產生後30秒不用也銷毀
  • e*****q says: darkthread: 我昨天有找到講解原理的文章，跟你想的很接近，但是噗浪怪怪的，貼不上來。現在補上~
    GRC's | SQRL Secure Quick Reliable Login  
  • e*****q says: django 有現成的實作 - django sqrl
    Django SQRL — Django SQRL 0.1 documentation
  • e*****q says: 大致翻譯一下
    1. QRCode 內容是一組帶有隨機字串(或數字)的網址，每次訪問登入頁面時，都會不一樣。
    2. Smartphone app 會以手機上使用者的 master key 跟網域做 hash，得到 public/private key
  • e*****q says: 3. 用第2步驟的 private 去簽署第1步驟的網址。
    4. app 送出 HTTPS POST 到第1步驟的網址。POST 的內容是第2步驟的 public key 與第3步驟簽署後的結果。
  • e*****q says: 5. 網站收到 POST 請求，直接回傳 200 OK。app 就視同使用者已經登入。
  • e*****q says: 6. 網站現在有從 app 來的資料，就可以進行校驗。
    這個步驟坦白說，看不太懂，還要仔細琢磨。
  • e*****q says: 來交叉比對 django sqrl 的程式碼，可能比較好理解。
  • e*****q says: django-sqrl 沒有上 pypi 啊...
  • e*****q says: 各種語言的實作 Implementations - SQRLauth.net
• elleryq says: 今天找到一個在 Lubuntu 下設定雙螢幕的工具：arandr ，蠻好用的~