【建议】app 授权逻辑相关

[holwell]

app 授权逻辑不应该像传统 web 中的密钥/ip白名单这样的授权机制，虽然足够安全，也确实有必要注重安全，但实际授权交互过程可能并不那么便捷，尤其是 ip 白名单的设计。

app 端的话，逻辑上，应该将授权机制着重放在首次鉴权和之后本地 app 的 cookie 有效期/风险安全校验机制上；形式上，发挥终端交互的优势，使用扫码等形式授权会更酷。另外，web 页面展示授权设备活跃时间等一些安全细节可以后续考虑。

最后，谈一点技术之外的题外话。那就是 app 就是一个流量入口，内嵌社区对客户的管理，长远的发展、变现会更有帮助。如果你们有这个意向，一定得尽早内嵌一个版本，哪怕是公告类型的简洁页面都可以，避免用户路径依赖之后再改变带来不必要的争议。

[frankoceans]

ip白名单的限制确实很大，ipv4配置一遍，ipv6再配置一遍？而且还不能配置ipv6的白名单

[frankoceans]

不过我看APP右上角有个扫二维码的功能

[lhDream]

但是不知道扫哪

[wanghe-fit2cloud]

高级功能 - APP

[frankoceans]

高级功能 - APP

似乎得开启体验预览体验计划

[sagezhj]

确实是这样，移动app本身就是面对移动设备的，而移动设备一般都不会有固定IP地址。
建议除上述手段之外，还可以考虑类似mac地址鉴权（存在不同网络下mac不一致和随机mac的问题，仅举例）或者其他能标识设备的鉴权方式
不过第三方调用api谨慎点总没坏处，或者app鉴权不走第三方api接口，独立鉴权会不会好些？

[Atticus6]

可以使用1panel搭建代理 ip白名单添加1Panel本机IP