技术干货|移动消息推送实践一键免密登录

为企业用户提供一种更安全、

鉴于现在各类业务运营需求的增强，消息推送在移动APP开发中应用的场景是十分常见：如电商的活动宣传、资讯类产品进行新闻推送、移动APP辅助登录认证等等。

推送消息截图

什么是移动消息推送？

消息推送的本质，是指移动应用App主动向用户推送服务器最新消息。实际上，是当服务器有新消息需要推送给用户时，先发送给应用App，应用App再发送给用户。

移动消息推送实现原理，主要有以下方式：

实现原理示意图

消息推送解决方案介绍

01Android消息推送解决方案

在Google提供的Android移动操作系统中，实现消息推送的主流方案有5种，接下来我们分别做下介绍：

方案一：C2DM

Cloud to Device Messaging，云端推送，是Android系统级别的消息推送服务；基于Push方式实现推送；

方案二：轮询机制

实现原理：基于Pull方式，应用程序间隔固定时间主动与服务器进行连接并查询是否有新的消息；

方案三：SMS信令推送

实现原理：基于Push方式，当服务器有新消息时，发送1条类似短信的信令给客户端，客户端通过拦截信令，解析消息内容/向服务器获取信息；

方案四：MQTT协议

定义为轻量级的消息发布/订阅协议，实现原理：基于Push方式；

方案五：XMPP协议

定义：可扩展消息与存在协议，是基于可扩展标记语言（XML）的协议，是目前主流的四种IM协议之一；

02IOS消息推送解决方案

APNs(英文全称：Apple Push Notification service），中文翻译为：苹果推送通知服务。该技术由苹果公司提供的APNs服务。

IOS消息推送的工作机制可以分为三个阶段：

第一阶段：应用程序把要发送的消息、目的iPhone的标识打包，发给APNS；

第二阶段：APNS在自身的已注册Push服务的iPhone列表中，查找有相应标识的iPhone，并把消息发送到iPhone；

第三阶段：iPhone把发来的消息传递给相应的应用程序，并且按照设定弹出Push通知。

03第三方平台消息推送解决方案

目前主流的第三方消息推送平台主要有以下分类：

主流手机厂商类：小米推送、华为推送；

第三方平台类：友盟推送、极光推送、云巴（基于MQTT）；

BAT大厂的平台推送：阿里云移动推送、腾讯信鸽推送、百度云推送等；

第三方移动消息推送服务基本都具备免费、和到达率高的特点。

那么应该如何选择呢？其中选择因素取决于：用户群体属性、实现成本、渠道。

我们来分别看一下第三方推送选择的标准：

第三方平台选择方案建议-示意图

使用建议：大家可根据自己的使用场景来进行消息推送平台的选择。

移动消息推送实践-一键免密登录

在今年6月的苹果开发者大会上，苹果宣布将会在iOS 13系统中加上“一键登录”功能，要求开发者在iPhone和iPad的应用程序植入“使用Apple登录”按钮。从现场爆发的掌声和欢呼看来，要说“天下苦密码久矣”也绝不为过。

传统的密码登录机制究竟有什么“原罪”？最大的问题在于，无限的账号和我们有限的记忆力存在不可调和的矛盾。

那其他登录方式呢？比如短信验证和微信、淘宝等第三方账号登录。

短信验证码最大的问题在于明文验证，黑客甚至有可能通过伪基站劫持短信验证码来破解用户的账号。第三方账号登录往往会以泄露用户信息为代价。用户使用第三方账号登录时，他们的使用习惯有可能被账号运营方获取。

派拉深耕于企业安全认证市场，在现有企业安全认证的账号体系中，基于第三方平台消息推送解决方案的基础上，为企业用户提供一种更安全、私密、快捷的登录方式，推出我们自己的“一键免密登录”。

以下是派拉在企业安全APP实现一键免密登录的场景实践：

1、用户在 PC 端登录页面，点击 “一键快捷登录” 按钮，触发手机一键登录；

示意图-1

2、此时用户在已经安装了企业安全 App的手机会收到一条登录验证请求，用户只需要按照 PC 端提示打开企业安全 App；

示意图-2

3、开启企业安全 App，会弹出手机安全登录页面，点击“确认登录”按钮，执行一键登录；

示意图-3

4、此时用户可以看到 PC 端已经登录成功啦。

示意图-4

派拉企业安全认证产品实现“一键免密登录”功能的意义：

告别明文验证，为安全站岗

相对于主流短信验证码的注册登录方式，用户手机端的一键登录方式能降低短信验证码被劫持的风险；

用户手机端确认，提高安全性

用户通过手机端APP进行确认，能够保障企业内部用户的唯一性，降低账号使用安全风险。

上文通过对移动消息推送的全面介绍，我们在安全认证产品中把技术热点应用于产品落地实践，实现用户PC端登录与手机APP的协同配合，从而提高用户对密码的无感体验，提升用户登录操作的便捷性，最终实现用户身份确认与无密码认证的安全性保障。

往期精彩回顾技术干货 | 新时代下的MFA技术干货 | Redis的哨兵和集群技术干货 | 持续集成与持续交付之间相差一个“安全”技术干货 | 统一身份认证系统---企业实施和保护技术干货 | 零信任安全架构的核心基础——统一身份认证