空梦统一通行证x上线测试

经过了那么多天的折腾,萌界开放平台终于上线啦!

经过了不断的挖坑/填坑/弃坑的过程,终于还是整出来了一个相对比较满意的东西

需求也是从原先最基本的Oauth2,然后一路需求升级,到了OIDC和SSO

欢迎大家来注册体验!

认证站点地址:https://auth.moeworld.tech/login/MoeWorld

支持的站点

本次上线支持的公共站点有如下三个

其中,博客和社团网站,也是史无前例的对各位开放注册账户了!

与此同时,我们会继续保留匿名游客评论机制(即不登录也允许评论)

但是在将来几年完成国内的备案之后,游客评论大概率还是会由于各种不可抗力因素,下线XD

带来的变化

对于留言系统来说,登录之后可以便于你留言,无需多次填写留言信息,且不再依赖浏览器的Cookie来认证你是谁

对于其他订阅者和平台方的我们,由于统一通行证需要验证邮箱才能完成注册,正如Goodboyboy所说的,邮件地址认证可以增加信赖你的人对你的留言的可信度

并且由于我们同时部署了单一登录,您可以在任意一个站点完成登录后,无缝的在其他站点完成登录,而无需其他额外的确认步骤(需要的仅仅是,点击"登录")

而且,有一项比较方便的事情是,你在也不需要在每个站点完成一次邮箱验证了(包括皮肤站也是)

安全概述

由于接下来会让认证平台承担所有认证和鉴权服务,并且需要开放给所有人使用

在一定程度上,其实安全策略比起之前是有所降低的

不过也因为安全压力不再集中于下游的实际负载,所以下游的站点也将安全策略同时放开了不少

由于没有那么高的安全需要了,干脆也将账户系统彻底放开

对接已有账户

在OIDC鉴权的过程中,由于账户和密码不再直接参与验证

下游负载仅依靠来自认证服务器的令牌来确定用户

所以,对于您在某些服务上已有独立账户的情况,并且希望迁移至统一通行证

您需要在注册时,将你的用户名(即ID,而不是昵称)和邮箱保持一致

博客和官网,将会使用id来区分用户,皮肤站由于没有固定ID这项参数,我们使用邮箱来区分用户

皮肤站同时还会保留独立登录和独立密码,请自行选择是否完成迁移

后记

目前,还有许多不完善的地方需要调整

事情需要一件件慢慢来,这篇文章更像是作为一篇通知而存在

后面还会有更详细的文档使用说明进行编写,敬请期待

让我们一起,探索更大的世界吧!

鸣谢

  • 纯之
  • iVampireSP
  • 若葉
  • Goodboyboy

感谢几位好友的帮助

点赞

赞助商广告

如果您的网络和设备条件允许,这里可能会显示来自Google的广告

  1. GoodBoyboy说道:
    Google Chrome Windows 10/11
    好耶,马上注册个玩玩
    1. 晓空说道:
      Google Chrome Windows 10/11
      :qy_huaj:
  2. GoodBoyboy说道:
    Google Chrome Windows 10/11
    不错,casdoor现在的界面好看多了(之前有点丑的看不了),不过导航栏还是有问题
    1. 晓空说道:
      Google Chrome Windows 10/11
      :qy_yaot: 话说,你这都注册了,为啥还是游客评论呢?
      而且这个界面,只能说也没好到哪去,顶级的后端,拉胯的前端(那个注册界面我还自己魔改了不少地方) :不得行:
      1. GoodBoyboy说道:
        Google Chrome Android 10
        有登录的地方么?(困惑)
        1. 晓空说道:
          Google Chrome Windows 10/11
          :qy_fue: 电脑,右边侧栏的头像,点一下就好
          好吧这确实是当时故意藏的比较深 :喝酒:
          1. GoodBoyboy说道:
            Google Chrome Windows 10/11
            哦哦,看到了
          2. goodboyboy说道:
            Google Chrome Windows 10/11
            不过为什么设置了webauthn但是没有登录选项
        2. 晓空说道:
          Google Chrome Windows 10/11
          看来得改改,给点提示,让用户知道这里能点才行 :蠕动:
    2. 晓空说道:
      Google Chrome Windows 10/11
      webauth应该是因为被我关掉了,这种东西感觉会用的人不多,干脆就隐藏掉了 :扶墙怂:
      或者说,开回去?
      1. goodboyboy说道:
        Google Chrome Windows 10/11
        这个用处很大呀,可以免密登录,还可以使用安全密钥登录,在移动设备iOS上一个人脸就可以登录,Android上一个指纹就可以登录
        1. 晓空说道:
          Google Chrome Windows 10/11
          这个我知道,之前翻相关文档的时候看到过
          不过国内的存在感确实不算太高就是,不过能联动windows安全中心就不错,既然能调用指纹,那么PIN应该也是可以的
          之后我看看给开回去吧,皮肤站那边其实也给了个默认密码 :huaji: 不知道你注意到没有
          不然mc外置登录没密码登录不了,然后密码为空不能直接改密码就太尴尬了
          1. goodboyboy说道:
            Google Chrome Windows 10/11
            因为国内的验证都是走手机验证码,国外都快进到了通行密钥了
          2. goodboyboy说道:
            Google Chrome Windows 10/11
            麻了,新版artalk社交登录bug太多了,一口气给官方提3个bug
    3. 晓空说道:
      Google Chrome Windows 10/11
      通行秘钥我还没搞的太明白,只在谷歌那边看到过,好像可以把手机作为通行秘钥使用,不过像你们在玩的那个物理安全秘钥我确实不太能理解就是,感觉物理的玩意总是有丢失的可能性,带着可能也不太方便(现在智能门锁的发展让我连钥匙都不想带了XD)
      不过插上去碰一下就能登录,这感觉确实不错嗷
      1. GoodBoyboy说道:
        Google Chrome Windows 10/11
        物理安全密钥有密码保护,丢失也不会造成多大影响(一般三次密码错误就会锁死)。并且在陌生设备上进行登录操作非常安全(因为所有运算都是在物理密钥内进行的并且密钥不可导出),完全不用担心有键盘记录器之类的。并且这对使用密码管理器来存储密码的人也是个福音,毕竟手动输入20位+的密码真的要命
        1. 晓空说道:
          Google Chrome Windows 10/11
          锁死这个倒不是我担心的问题,我主要是担心备份的问题,物理秘钥丢了之后,自己有没有比较方便的方式来重新恢复一个新的秘钥出来呢
          对于密码管理器这玩意,我算是个重度用户了,虽然说主密码20多位挺正常,但事实也不会经常用到,对于受信任的设备大可完成首次鉴权后直接把PIN/指纹开起来,以后都不用再输主密码了(或者说,这玩意本身承担的应该是恢复秘钥的任务)
          但也同样的,对于不受信任的设备,用起来就比较麻烦了
          1. GoodBoyboy说道:
            Google Chrome Windows 10/11
            备份问题emmm,对于2fa来说要么绑定多个2fa方式,要么保管好开启2fa时生成的recovery code,对于passkey的话要么进行账户恢复要么就使用主密码(目前看来大部分网站并没有因为设置了passkey而删除了主密码)
        2. 晓空说道:
          Google Chrome Windows 10/11
          不过也同样的,毕竟密码管理器这玩意,我选择的是自部署托管,或者也可以用商业的密码管理器
          但不管哪一种,他们的数据都在云上,客户端这边也同样有安全验证能够锁死密码库读取密码,如果作为客户端的介质丢失了,自己只需要从服务器上拉回来数据就行,这点我觉得应该是会比物理秘钥方便一些
          所以还是回到前面的问题来,物理秘钥对于自己来说,有备份的方法吗 :老实巴交:
          1. GoodBoyboy说道:
            Google Chrome Windows 10/11
            物理密钥并不是用来代替密码的验证方式(虽然说貌似Google还是Apple有想向这方面推动的趋势),而是作为和密码拥有相同登入权限的验证方式,当然很多时候有些网站还是选择将物理密钥作为2fa而不是passkey。至于备份,最经济的方式还是添加更多验证方式或者备份recovery code,富哥做法则是买2个以上的密钥同时绑定
          2. 晓空说道:
            Google Chrome Windows 10/11
            那么看来我还是对这玩意有点误会了,不过要是只能靠恢复代码这种东西来每个网站改过来,那感觉后续的恢复步骤真是比丢失了物理秘钥本身还灾难的事情啊XD
            然后替代密码的话,用手机充当通行秘钥来替换代码,其实微软也在干,或者干了很多年了(在个人账户上,你可以选择启用“无密码”),但是微软那验证器丢数据也不是一年两年了,反正我不敢用,谁爱用谁用(doge)
    4. 晓空说道:
      Google Chrome Windows 10/11
      artalk的社交登录bug多也正常,感觉看起来就是才刚搞起来不久的样子,而且我之前还看到个感觉很像artalk的玩意,不知道这几个项目有没有啥关联,或者说分支的上下游关系 :蠕动:
      至于验证码这玩意,也只能说是国内外的文化差异了,国外想冒名补办电话卡好像还挺容易的,毕竟没有实名制,国内非本人你想补?开什么玩笑(doge
      1. GoodBoyboy说道:
        Google Chrome Windows 10/11
        是这样的,昨天一共提了两个bug一个建议一个漏洞

发表回复

电子邮件地址不会被公开。必填项已用 * 标注