极客观点
研发管理
HarmonyOS
需求:是为了防止别人用postman等工具恶意调用接口;简单来讲就是接口只能在我的网页里调用,其他方式一律不能调用;
因此前后端约定了一套加密方式: 如(MD5('用户手机号'+'约定字符串'+时间戳))
然后我把上面这个结果放在了请求头里,通过key:'testA'传递给后端;
testA: xxxxxxxxxxxx;
如此初步解决了别人恶意调用接口的问题,但是过了几天发现被破解了,原来我搜了在浏览器控制台-源代码如图:
应该怎么规避这个问题;或者我的加密思路不对,应该怎样做能避免这个呢?
vue 前端请求数据时约定的MD5等方式加密可以在浏览器控制台源代码中看到加密方式,如何解决?
阅读 3.3k
这个应该先定义什么是恶意调用?比如短时间频繁调用,那应该针对的是这个短时间频繁调用去做处理,限制同一ip短时间的访问次数。
我在控制台进行接口访问算不算恶意的呢?
想防止工具调用有个方法,就是接口在请求后返回一个新的标识符,类似sessionId的,每次请求带上这个sessionId,由后端校验这个sessionId是否合法。这个sessionId短时有效。
- 严格来说,你的需求做不到。
- 你们目前的方案,只是给自己增加了一些负担,意义不大。
- 你可以加强一些混淆手段,比如把
md5改成mhno1,但是治标不治本。 - 没有办法彻底防止别人在你们页面外访问你们的接口,只能通过一些规则做限制,不过我觉得价值不大。
一般来说,接口只要保证以下几点即可:
- 不能伪造数据
- 所有数据都合法
- 不能伪造用户身份
推荐问题
遇到一道设计模式的面试题,各位大佬看下如何解决,题目要求是优化这段业务代码?
遇到一道设计模式的面试题,各位大佬看下如何解决,题目要求是优化这段业务代码条件是布尔值或者函数返回值,cb 是函数 {代码...}27 回答13k 阅读
不同页面之间可以通过localstorage保存响应式吗?
A页面选择一些选项,B页面上有一个下拉框,下拉框的内容和A页面上选中的内容同步,这该怎么做?这可以通过vue的响应式来实现吗?6 回答2.3k 阅读✓ 已解决
扁平化数组转换成树形?
背景:需要将扁平化数组转换成树形数组。比如原始数组如下: {代码...} 期望转换后的数据 {代码...}8 回答3.5k 阅读✓ 已解决
省市区街道数据在哪里可以下载?
省市区街道数据在哪里可以下载?6 回答1.3k 阅读✓ 已解决
Vue项目一个报错无法找到原因?
排查了好久实在没有找到哪儿出了问题,时不时弹出来,编译结果又是正常的,尝试排查了好久但是一直没有办法排查出来,有遇到过这种报错的同学吗?或者有没有同学提供一种排查思路,因为我真的搞懵逼了。哈哈哈。5 回答5.3k 阅读✓ 已解决
如何在JavaScript中从外部中断for循环的执行?
js中如何从外部中断for循环,起因是这段代码上层会反复进入这个for循环,每次进入的时候需要清除之前的执行效果,所以需要在循环外部来取消?大佬们知道如何做吗?4 回答1.6k 阅读✓ 已解决
网站的不同域名互相跳转如何保持登录态?
一个网站部署了多个域名(不是子域名),比如:www.abc.com和www.aaa.com,如何从一个域名跳转到另一个域名的时候,仍然保持登录态呢?6 回答1.1k 阅读
宣传栏
简单的一句话就是:浏览器能拿到的东西,就不能阻止别人去拿。除非你写专用浏览器把密钥内置到浏览器中(都还是存在被破解出来的可能性)
这也是为什么前端永远不可信的原因,后端必须要做安全验证和数据有效性验证。
参阅: