我需要为本地推广人制作一个票务系统。我已经完成了条形码的大部分工作,但这已经很旧了。我想升级使用二维码。我遇到的安全问题是在扫描二维码时。
扫描二维码似乎有效,但如果有人创建了自己的二维码,其URL目的地为系统用于验证代码的不同URL,并输出与我用于验证二维码的成功扫描二维码相同的信息,该怎么办。
这种情况发生的可能性很小。但客户有非常重大的事件,如果发生这种情况,可能会带来麻烦。
这是一种我扫描的所有qr码都会重定向到我的页面的方式吗?我只导出url中的令牌来与我的DB中的令牌进行比较?
希望我想解释的是可以理解的,并感谢任何帮助。
问候,
p
第一:任何类型的条形码都没有固有的安全性,无论是QR还是其他。它们只是使某些数据具有机器可读性的一种奇特方式。
第二:二维码不必包含网址。它们可以包含URL,并且在广告中经常以这种方式使用,但没有什么能迫使它们以这种方式被使用。
第三:即使你扫描二维码,它包含一个URL,你也没有理由需要在网络浏览器中访问该URL。事实上,如果你在固定用途的应用程序中使用二维码(就像你在这里做的那样),你可能不应该这样做。查看URL的文本,检查它是否符合正确的模式,并从中提取用户ID。
如果您将线性条形码与二维码进行比较,那么显然您最好使用二维码,因为:
- QR码支持纠错,即如果它被部分损坏(根据配置高达25%),则它将被解码
- 它得到了硬件和软件(包括手机应用程序)的广泛支持
- 与线性条形码相比,每英寸信息密度更高
据我所知,你担心可能的虚假服务器+带有虚假二维码的虚假门票,其中包含虚假服务器的URL。
在这种情况下,我会考虑为来自服务器的响应实现数字签名或加密,这样扫描应用程序就可以验证它们是否来自真实的服务器:
- 使用扫描应用程序已知的密码加密条形码中的字符串的最简单(但不太安全)方法,以便扫描应用程序可以解密响应
- 实现服务器响应的数字签名,并验证这些响应是否来自真实的服务器
- 使用SSL,以便对服务器和应用程序之间的数据交换进行加密
此外,据我所知,也有一些情况下,车票被复印后,原车主无法使用原车票,因为以前使用过带有假条形码的假车票。因此,通常建议不要在社交媒体上发布门票照片。