uni id通过uni-id-user表中数组型字段dcloud_appid,决定用户有权登录哪个应用。可是在以下情况可以绕过这个机制:用户在A应用中注册并登录,然后把在A应用中的token和过期时间传入到B应用后,在B应用中也可直接处于登录状态。这个用户未在B应用注册过。
请问这是bug还是一种正常机制呢,如果是正常的话,我打算利用这个机制设计自己的应用
Neveregret
- 发布:2024-07-17 09:28
- 更新:2024-07-17 11:31
- 阅读:147
1 个回复
DCloud_uniCloud_VK
只要2个应用的uni-id里的 tokenSecret 密钥是一样的, 那么token就可以通用, 默认token的校验没有去查数据库, 但是执行 uniid的checkToken API时, 如果触发刷新token, 或3.0版本指定needUserInfo为true, 此时会查库判断
如果你想要不隔离用户, 可以在注册成功后, 把dcloud_appid字段 remove 掉, 就可以全端登录了