极客观点
项目管理
HarmonyOS
前端请求后端API 会带cookie ,
我目前的做法是前端传cookie 里面有一堆参数,然后一个hash值,
一堆参数和服务器的一个key加密MessageDigest,最后得出值与hash是否相同,就代表成功和失败。
现在关键就是这个key,这个key 感觉就是关键呀,我是写在app.xml里面的,感觉好不保险哦,好担心被人偷了哈哈。请问大神们咋办?你们都咋做的呀?
java
如果会被偷,放哪都是会被偷。
如果是全局的key:可以定时生成一个随机的,比如1小时生成一个新的key,验证时用前一小时和当前这个小时的key对数据进行验证,只要有一个合法就是有效的请求。
或者:人工定时改代码,一礼拜换一个key,自己安慰自己吧
你这个应该来说叫「签名」。
在将 cookie 发送到浏览器之前,获取所有 cookie 信息并签名,然后将签名加入 cookie 中, 客户端请求时验证签名。
整个签名过程是在服务器完成的,也就是说,这个是相对安全的,可以防止客户端篡改 cookie 。
至于上面说的 自动更改,这个你要考虑一个情况就是 cookie 在大多数情况下使用,我们就是为了让他保持登录,而自动变更 key 之后,就会导致之前的 cookie 验证失败,这个就要参考 JWT 的设计。
在理想情况下,防止攻击都是防止第三者,如果是用户自主发起的,不太容易分辨,反之还容易误伤。
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
小网站有必要将图片放到阿里云OSS存储吗?
网站有涉及到图片的请求,买了阿里云服务,我想将图片放在云服务上的某个目录下,然后通过nginx代理请求图片资源,不知道这么做是否可行?还是说需要将图片放在OSS上存储,但是OSS需要收费?哪个方案更好一些?15 回答8.2k 阅读
Spring中的两个疑惑?
使用注解的写法是否违背了Spring诞生的初衷?看了很多Spring教程,在讲述为什么要使用Spring的时候,都提出了一个很重要的原因就是,以前的8 回答6k 阅读
如何在SpringBoot/MySQL事务中并行执行多条SQL?
SpringBoot/MySQL 相关问题向大佬们请教一个问题,一个事务中要执行多条SQL,比如下单场景,扣减账户余额、修改商品库存、生成流水记录、生成发货记录等操作,假设这些操作比较耗时,有没有什么方法可以让这些SQL在一个事务中并行执行提高性能。3 回答3.6k 阅读✓ 已解决
求java/php大佬帮帮忙?
最近遇到一个需求,需要对接第三方平台,然后对面只给公钥和私钥 ,本身我是用php开发的,第三方的demo 是java 头大完全不知道什么意思,看不懂java写法 有没有大哥帮我写个php的类这是第三方demo提供的加密加签方法以下是完整文件package com.example.guojindemo.utils;1 回答4.1k 阅读✓ 已解决
Spring Security jwt 验证问题?
前端请求 Authorization 必须是正确并且没过期,或不设置这个值才可以,这是为什么,我 SecurityConfig 中已经配置放行了。3 回答2.6k 阅读✓ 已解决
Java实例变量默认值赋值时机是什么时候?
实例变量在什么时候会被赋默认值例如int赋0, boolea赋false。 {代码...} 我希望从JVM的角度出发,有相应的证明或者资料证明吗?3 回答2.2k 阅读✓ 已解决
java连redis-sentinel连不上,接下来如何排查?
java连redis-sentinel连不上Java连接redis-sentinel连不上redis-sentinel是在k3s上部署的,使用helm部署的用命令行查看一切正常但是使用java连接报错,详细信息如下环境准备因为java的pod里面是没有redis的,所以下载一个redis-cli,然后拷贝的pod里面,再用命令行连接 {代码...} 安装redis到pod中 {代码...} 直接连接主节点...2 回答3.2k 阅读
key你要动态生成呀,一个用户一个key。
另外你这个hash值只是为了防止数据在传输过程中被篡改,另外MD5是哈希不是加密。
你要先搞清楚你设置这个hash的目的,然后才能说下一步。