如题
同一个QQ,可以绑定两个User,然后再用QQ登录的时候,会登录后绑定的那个User
这样很容易引起一些安全方面的问题。比如刷账号,出售账号之类的。
有什么方法避免这个情况吗?
同一个 QQ 号在同一个应用下只会返回相同的 openid,所以为了保证唯一性,需要为 authData.qq.openid 创建唯一索引。这个 LeanCloud 后端会自动创建,您可以在控制台的 _User 表确认这一点(部分老应用可能没有自动创建,需要您手工创建下)。
authData.qq.openid
_User
另外您也需要开启 Access Token 的验证,防止恶意用户构造一个虚假的 openid 提交。
这个应该是开启了的吧,我刚刚看之前就都是开启的,那说明没用呀,还需要设置什么吗?
开启唯一索引的情况下应该是无法提交重复的 QQ openid 的。您如果有具体的重复 openid 的 User 的 objectId,可以给我们提交工单,我们看看是什么情况。