前后端API交互如何保证数据安全性?     

评论

tubu

2018-10-25 20:50 回复
感谢博主的文章,有个问题想探讨一下。在使用HTTPS的情况下,所有HTTP协议层的数据都已经被加密过了,文中所述的方法是否就无必要了?
尹吉欢@tubu 如果是app里的请求,通过抓包的方式是无法获取请求内容的,如果在网页中抓包还是可以看到请求体的
2018-10-25 21:22 回复
tubu@尹吉欢 通过Chrome等浏览器自带的developer tool查看Network的确是可以看到未被TLS加密的内容。不过正常来说,网站上允许未授权访问的页面/接口内容应该是可以允许任何用户查看的,如果需要权限保护的页面/接口那也只有拥有权限的用户登录之后才能使用此种方式来查看,所以我理解这可能不算是一个安全问题吧?
2018-10-26 13:54 回复
尹吉欢@tubu 只要能看到,那么我有别人的账号我就可以模拟登录,然后抓数据啊
2018-10-29 13:08 回复