尤里安敏兹

最主要的是，在这种验证方式下，有心人通过某种方式得到一个正常的唯一id格式以后（比如MAC地址或者MIME号？）通过穷举法也是有可能得到任何人的唯一ID的，然后就可以恶意登陆了

尤里安敏兹

我觉得正确登陆流程是，得到唯一id后判断这个id是输入的密码还是绑定的google账户，如果是密码就验证密码，如果是关联google账户就验证本机上登陆的google账户是否关联的那个，验证通过后才能成功登陆

toutou

G+ 和 APPSTORE 同服游戏是不是BUG出现几率会比较高？

娜迪亚拉阿尔瓦

引用:

原帖由 尤里安敏兹 于 2015-3-20 10:26 发表
我觉得正确登陆流程是，得到唯一id后判断这个id是输入的密码还是绑定的google账户，如果是密码就验证密码，如果是关联google账户就验证本机上登陆的google账户是否关联的那个，验证通过后才能成功登陆 ...

但是现在游戏是优先把玩家作为非关联google账户使用，需要使用G+的要自行关联。当其它人首次登陆时返回了0值，就默认登上了你的账号，完全绕过了G+。并且不设密码还不能退出，所以这次悲剧的起因就是这么来的。

FOX当初设置登陆方式时，就咨询过玩家的意见，大部分人都不希望通过G+登陆

[ 本帖最后由 娜迪亚拉阿尔瓦 于 2015-3-20 11:15 编辑 ]

尤里安敏兹

引用:

原帖由 娜迪亚拉阿尔瓦 于 2015-3-20 11:13 发表

但是现在游戏是优先把玩家作为非关联google账户使用，需要使用G+的要自行关联。当其它人首次登陆时返回了0值，就默认登上了你的账号，完全绕过了G+。并且不设密码还不能退出，所以这次悲剧的起因就是这么来的。

FOX当初设 ...

问题是，再怎么优先都可以，比如数据库中，字段a是id号，b是登陆方式标志字段。当首次绑定Google账号是，b字段赋值1，当首次输入密码时，如果b字段当前值是空或者0就赋值2说明没绑定Google只输入了密码，如果b字段当前值是1就赋值3说明即绑定了Google又输入了密码。这样当返回字段id0时，查询登录方式标志，如果是1就跳转Google登陆验证账号的流程，如果是b就验证密码。至于优先验证密码的方法，完全可以当验证字段只要不是1就按照密码验证呀，这才是优先的概念

尤里安敏兹

引用:

原帖由 娜迪亚拉阿尔瓦 于 2015-3-20 11:13 发表

但是现在游戏是优先把玩家作为非关联google账户使用，需要使用G+的要自行关联。当其它人首次登陆时返回了0值，就默认登上了你的账号，完全绕过了G+。并且不设密码还不能退出，所以这次悲剧的起因就是这么来的。

FOX当初设 ...

问题是，再怎么优先都可以，比如数据库中，字段a是id号，b是登陆方式标志字段。当首次绑定Google账号是，如果b字段当前值是空或者0就赋值1说明绑定了Google但是没输入了密码，如果b字段当前值是2就赋值3说明即绑定了Google又输入了密码。当首次输入密码时，如果b字段当前值是空或者0就赋值2说明没绑定Google只输入了密码，如果b字段当前值是1就赋值3说明即绑定了Google又输入了密码。这样当返回字段id0时，查询登录方式标志，如果是1就跳转Google登陆验证账号的流程，如果是b就验证密码。至于优先验证密码的方法，完全可以当验证字段只要不是1就按照密码验证呀，这才是优先的概念

[ 本帖最后由 尤里安敏兹 于 2015-3-20 12:25 编辑 ]

尤里安敏兹

优先的概念是:去某地有ab两条路可以走，优先走a路的意思是当ab都能通的情况下不走b只走a。而不是当a路被炸毁只剩下b路可以走的情况下，不计代价修好a路然后走a路到达目的地。

Mocilol

引用:

原帖由 尤里安敏兹 于 2015-3-20 10:21 发表
最主要的是，在这种验证方式下，有心人通过某种方式得到一个正常的唯一id格式以后（比如MAC地址或者MIME号？）通过穷举法也是有可能得到任何人的唯一ID的，然后就可以恶意登陆了 ...

穷举法是猜不到别人唯一ID的，因为是128位

另外google+关联的功能，只是关联，在google+里记录下你账号id，不是强制要求一定要google+的账号才能登录。这为了在你google+登陆不上的时候也能用本地的账号。

另外你说的绿色守护可能是原因，肯定是有哪个软件修改了设备的唯一id的获取，设为0了。

尤里安敏兹

好吧，不管怎样，终于能确定我的账号是由别人通过程序bug黑掉了。能找回总是高兴的，坐等我的军团和军团成员以及排名和国战的地盘恢复