极客观点
项目管理
HarmonyOS
看了一下七牛的文档,推荐的app上传图片的做法是
1、访问一个url,返回一个token
2、app通过这个token上传到qiniu server
我的疑问是,这个生成token的url,别人是可以通过某种方式获取到的,如果获取到之后,岂不是可以用这个url生成token为自己所用了??
保护这个生成token的url的安全性的方式有哪些?
七牛云存储
就算你得到了这个请求token的url,在这个token有效期可以请求数据,但是你不知道发送的参数应该填什么,过期了服务器端验证不过就不会返回你有效的token,但是如果黑客可以一直得到有效的token怎么搞
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
首先,这个上传token的作用仅仅可以用于上传,同时token中的明文信息也获取不了资源的下载url,因此,第三方攻击者获取了这个上传token也只能用于上传,并不能用于其他下载私有资源(需要带下载凭证),或者是进行其他的资源管理操作(需要带管理凭证);
第二,这个上传凭证的仅仅在有效期内有效,也就是上传策略的deadline参数;
另外,如果用于生成上传凭证的上传策略的
scope参数设置的是<bucket>:<key>,同时指定了insertOnly参数为1,那么这个上传凭证其实只能使用一次。