关于设备绑定/登录安全方面的疑惑，请给位帮忙看看。

独孤垂钓2003 · 发表于 2016-12-19 14:15:29

刚开始接触机智云，有一些设备访问安全方面的问题想不清楚，请各位帮忙解惑哈。

目前测试过程：
1. 从云端生成esp8266 SoC的代码，下载到本地后，不做任何修改，直接编译生成image，下载到8266的WiFi模组（自己的板子，不是gokit，没有那两个按键），上电启动；
2. 下载APICoud版本的开源APP demo，修改appId，ProductKey之类的定义后，重新编译生成Android版本的安装包；
3. 手机扫描二维码安装APP后，注册账号，登录，然后添加设备，选择乐鑫，输入外部AP的SSID/PWD，进入配置过程，成功后进到设备列表（云端可以看到设备上线，串口打印心跳交互信息）。APP发现未绑定的设备，点击绑定设备，绑定成功，显示局域网在线。再点击该设备，显示登陆设备成功，进入到设备控制页面。
4. 用另外一台手机，安装APP后不注册任何账号，直接从添加设备开始，也可以操作成功，最后进入到设备控制页面。

好了，现在问题来了：两台手机的APP，从添加设备，绑定设备到最后登录设备进入控制界面，整个过程没有要求用户输入密码什么的，怎么保证我的设备安全哈？为什么只要装个APP就能够直接登陆设备进行控制？

为什么不能通过用户自己设定设备的访问密码来进行本地或远程的访问自己的设备？如果可以，应该做怎么配置？

请各位不令赐教哈。

loulan · 发表于 2016-12-19 15:47:11

跳过登录算是匿名登录，则使用UUID作为信息，好像可以设置密码，创建虚拟设备，他会给你did和password

独孤垂钓2003 · 发表于 2016-12-19 18:08:22

loulan 发表于 2016-12-19 15:47
跳过登录算是匿名登录，则使用UUID作为信息，好像可以设置密码，创建虚拟设备，他会给你did和password ...

谢谢loulan同学答复哈。

从我目前的设备测试来看设备端的处理流程似乎不合常理啊，不管是否注册用户，都可以畅通无阻的控制设备。合法用户无法修改设备的passcode，而非法用户似乎也可以自动获取passcode，这怎么玩呢？？如果是有匿名登录一说，怎么在设备侧把它disable掉呢，毕竟如果开发的是商用产品必须只能是合法用户才可以操作啊。

不知道官方有没有专门关于用户鉴权，设备安全方面的流程说明呢，如果这块东西搞不清楚，对于准备商用的产品来说，怎么可能放心的去发布呢？

Genius · 发表于 2016-12-20 15:49:17

独孤垂钓2003 发表于 2016-12-19 18:08
谢谢loulan同学答复哈。

从我目前的设备测试来看设备端的处理流程似乎不合常理啊，不管是否注册用户，都 ...

设备gagent的接入流程可以看这里：file:///C:\Users\Gizwits0608\AppData\Roaming\Tencent\QQ\Temp\%W@GJ$ACOF(TYDYECOKVDYB.pnghttp://docs.gizwits.com/zh-cn/deviceDev/gagent_info

对于绑定设备的安全性，可以用这个策略：可绑定时间怎么用？

机智云设备绑定机制：APP与设备在同一局域网，如果GAgent没有设定绑定时间，则任意装有相关APP用户随时都能绑定设备，存在一定安全隐患。设备绑定时间，用户在可绑定时间内可以绑定设备，提高了安全性。