[Feature] 微软账户登录添加《临时登录》选项 #2620
Comments
|
虽说Minecraft不像Steam上的游戏有盗号风险,但网吧那种环境,懂的都懂,这个功能很有必要 |
|
这会导致频繁的重新登录的,根据 Microsoft 官方文档来看, |
可是要是有人偷走了 |
|
也许可以尝试在关闭 HMCL 时自动清理 |
但是这个频繁程度很可能会触发微软的风险控制机制,如果盗号的情况下官方客服还是支持的,但是这种很有可能会因为违反 ToS 导致不被受理乃至完全销号) 甚至可能适得其反,在没有被人盗号的情况下被系统误判为存在风险,自动做出某些防止盗号的行为 |
我觉得应该不会有人在短时间内频繁登录吧( |
如果按照你这个设想,重启一次 HMCL 就需要重新登录,这个频次算下来,如果我测试一些 Mod 或者其他什么东西需要频繁重启 HMCL 的话,这在微软的风控系统看来就算是频繁登录了) |
|
而且这种东西不应当会加密存储吗,以及,如果微软账号那边取消授权了是可以立即让该应用的 |
HMCL因为是开源的,加密了等于没加密。黄鱼说的( |
这样的话,所有使用了此账号的 HMCL 在尝试进行一次新的启动(乃至游戏内)都会被强行要求重新登录(游戏内应当会提示会话失效,并要求重新启动游戏或重启启动器) |
每个系统单独生成一个加密密钥不就好了))) |
|
加密算法可以是开源的,但是密钥不一定得是啊) 就类似于 E2E 加密这样,每个系统在第一次启动时自动生成一份加密密钥,然后对获取到的 这样,源代码中只有加解密相关的内容,但除非我能得到这份加密密钥,不然我也没法子解密这个 |
|
那我觉得可以在使用 |
true,不过我还是建议先把 而且最好是加一个必须是官方构建这套加解密功能才能起效的东西,这种东西验证逻辑应该是比较简单的(指对 |
|
我对此表示怀疑态度) 加密算法大多也都是开源的(诸如 RSA 与 DSA 等),他们的加密原理都是众所周知的,但这并没有导致什么问题 加密的算法是所有人都知道的,代码也是,但是加密的密钥除非被泄漏,没有人能知道,只需要在第一次启动时生成密钥即可 不然你说像 AuthMe 这种登录插件怎么给密码加密的,他们也是完全开源的) |
|
那,加密的密钥存哪 |
可以让用户自行决定,比如让他们自己生成 PGP 密钥或者自己选择保存位置,或者直接调用系统的 |
|
或者去看看别的一些需要加密但是开源的工具也不是不行) |
算是个大工程了吧, Glavo 当时尝试搞过但没弄好,就弄个全局账户和便携账户 |
这种东西确实不算很简单(至少我的技术力实现不了),但是也不应该算是一个很难搞的东西 加密库都是现成的,直接引用就好了,使用教程网上应该也是一抓一大把,毕竟加密存储账户信息这个东西也不算是很冷门) |
|
不过我还是要骂一句麻将,这种高安全性的东西为什么官方不做一个存储,甚至 tmd 官启都是直接塞进一个 json 文件的,就很抽象 |
|
我觉得这个东西应该去麻将官网使劲骂,这种东西完全是官方自己没做好的锅 据我了解,全球搞 Minecraft |
目前 HMCL 也是直接塞到一个 json 文件( |
HMCL 是为了符合官方标准,如果官方都重视,那自然也就没这么多事了) |
|
目前,HMCL 支持便携账户和全局账户。便携账户用于把游戏塞到 U 盘里,全局账户用于防止意外泄漏 Token |
赞成 |
我觉得这样可以在一定程度上防止恶意盗号 |
这个真救不了 加密能,且仅能拯救的是意外把带有微软便携账户的 HMCL.json 发给别人的情况,对于中病毒这种,没招 |
|
你可以生成一个密钥文件,然后让用户设定主密码对密钥文件进行加密,就和 Firefox 等软件加入主密码是一个道理 |
|
或者可以尝调用 Windows 凭证存储或 Linux GPG 密码库进行存储 |
是的,所以我们不考虑应对计算机病毒 |
|
所以,这种不加密的方案如何? |
|
这个方案的适用范围也就是网吧等只用登录一次的场地?即 refreshToken 只保存在内存里 |
|
即使保存在内存中,不做隔离,同等级或更高等级进程可通过注入获取内存中token |
但是 Chrome 在尝试改变,就比如尝试用TPM等技术... |
|
|
实际上这就是加一个主密码进行加密保存的问题) |
|
对于加密,尝试给每个HMCL生成一个密钥对用来加/解密(或者用对称加密?)
就跟在 TeaCon 里有一次讨论对Mod进行保护时一样,这些手段也只能起到阻拦作用。 |
确实... |
|
我当时测试微软登录问题测试登录了 30 多遍,除了邮箱有点满任何事都没有 |
|
有没有可以让key失效的api? |
没有吧 |
退出前重申请key,但不保存(直接丢弃)? |
有的。https://learn.microsoft.com/en-us/entra/identity-platform/v2-protocols-oidc#send-a-sign-out-request 还有你们都说的什么乱七八糟的,临时登录就不应该请求refresh token,谁家风控会ban成功登录的正常用户??就算你的逻辑是这么nt巨硬也不会,implicit grant本来就没有refresh token需要多次登录,oauth协议都不清楚就来瞎咧咧 |
@FunnyShadow 我不知道你有什么开发经验,我想请问你是从哪里看出来access token过期之后重新请求登录会被风控的,还是说你的参考文献就是大学生选修课论文里拿来凑数的? 请求登录本来就是必要的安全要求,是保证hmcl必须要在用户监督授权下才能访问数据,我想问临时登录要refresh token干嘛?巨硬会傻到因为这个封禁你?除了这么做没有更方便的办法保证用户隐私和安全,请问巨硬为何堵上这条路?找骂?(虽然骂也不少了) |
|
这东西写起来也不难,记录一下过期时间,过期了没有refresh token就要求登录,添加一个登出,按照我上面给的文档,改不了几行代码。 应该说,为了这么点破事吵这么多,诸位不看文档瞎咧咧能力真强,这完全是一个不错的功能建议。
反对 @8MiYile ,我们保存的是微软账户token,权限scope是整个xbox而不是只有mc,你只是不玩Xbox才无所谓... |
就是说,有没有一种可能,我说了频繁二字? |
|
请两位稍微冷静冷静…… 这里是 GitHub,不是给你们互骂的。指出错误可以,但请不要使用侮辱性称呼…… |
每小时调用一次如何定义为频繁?你的登录服务一个小时只能完成一次请求吗?请注意我说的实现是要把现在不检查过期时间的小bug修了的前提下说的 |
|
不知道你们的序列化怎么做的,过期时间long搞成double了…… 先把这个修了吧, @FunnyShadow 请注意这是HMCL的bug,而不是不能登录 |
我承认我前面语言太过激了,很抱歉,昨天晚上没睡好早上起的又很早,看见这个真的很心烦(尤其是本来这 issue 和我就没啥关系,对方对我语言又有些激烈的情况下) |
我不确定 HMCL 以及本 Issue 目前的情况以及目的是什么 |
你的理解是错的,access token一个小时后就会过期,所以其实可以保存,实在介意可以选择在ms那里logout
绷,你手速多块才能达到rate limit? |
我不觉得我的理解有任何问题,原文里面就这么说的 同时 ratelimit 是一段时间内的累计总值,一般时间在 5~30 分钟之间动态变化,而且 ratelimit 的值也是动态变化的 如果你执意抬杠我觉得这讨论也没啥必要了,无论我给出什么证据你都会杠回来 |
可以实现,issue的原话不一定是最终功能,而且频繁登录这个错误前提是谁提出来的我有点健忘记不清了 |
|
算了,感觉这功能是真的没意思,谁想做自己参考吧 https://github.com/zly2006/HMCL/tree/temporary-login |
描述 | Description
RT,当勾选时,不保存
refreshToken,当第二次启动 HMCL 时就会弹出弹窗要求重新登录,这样可以以防账户被盗?但缺点也如此,第二次启动 HMCL 时,登录微软账户阶段会使用
refreshToken刷新accessToken,无论accessToken是否过期,这个可能需要优化下?原因 | Reason
这样可以以防账户被盗?
The text was updated successfully, but these errors were encountered: