Toggle navigation
面试宝典
架构师课程
开源
文章
博客
SpringCloud
CloudAlibaba
SpringBoot
Spring Boot1.X
Spring Boot2.X
关于
登录
|
注册
支付宝扫一扫帮助发展吧~
微信扫一扫帮助发展吧~
再谈前后端API签名安全?
尹吉欢
2018-10-22 07:52:09.0
2条评论
4174人阅读
版权声明:转载请先联系作者并标记出处。
java
点击阅读全文
扫描下方二维码,加入Java方向技术交流讨论群。暗号:加群
轻描淡写
2018-11-03 01:10:45.0
回复
特意注册了一下账号。。有2个问题 1、前后端加密约定key,那前端加密的key还是硬编码存在源码中的,就算可以混淆,但是真要有心的话,还是可以拿到加密key的,请问如何处理? 1、网页的弹窗。。就是那个gitchat。。在我的mac13上,关闭按钮点不到,只能打开控制台删除元素。。可以优化一下
尹吉欢
:
@轻描淡写
弹窗的我改小点,这个过几天就会去掉了,只是想这几天推广下,加密的问题可以参考http://cxytiandi.com/blog/detail/20235中最后的一段话,采取交换秘钥的方式
2018-11-03 21:17:45.0
回复
查看更多
添加新回复
查看更多
去注册
去登录
登录后发表
去注册
去登录
登录后发表
上次[《前后端API交互如何保证数据安全性?》](http://cxytiandi.com/blog/detail/20235)文章中,我们介绍了如何在Spring Boot框架中去统一处理数据的加解密。对于请求的加密也只做了POST请求的自动加密,今天接着上文来继续介绍GET请求的安全性如何保证? 首先我们来看一个简单的GET请求: http://cxytiandi.com/user?name=yinjihuan 首先很明显的是我们可以看到name参数是明文的,如果对安全性要求很高,建议查询也用POST请求,前面我们对所有POST请求的参数都做了加密操作。 > 无论是GET还是POST都可以做签名 明文没关系,关键是这个请求我复制到浏览器中打开,把name改成别的值,如果真的存在的话也是能返回结果的。问题就在这,参数被修改了,后端无法识别,这是第一个问题。 第二个问题是这个请求可以无限的使用,就是你明天去请求这个地址它还能返回结果,这个其实也需要控制下,当然控制的方式有很多种,今天我们会介绍一种比较简单的方式来控制。 # 第一种方式 参数中加签名,前后端约定一个key,
首次访问,人机识别
扫描下方二维码回复
王老吉
获取解锁验证码
步骤:[ 打开微信 ]->[ 扫描上方二维码 ]->[ 关注
猿天地
的公众号] 输入
王老吉
获取验证码,即可永久解锁本站全部文章。
验证码:
(请输入)
提交
轻描淡写