前后端API交互如何保证数据安全性?     

尹吉欢2018-06-04 10:08:40.05条评论 9700人阅读

版权声明:转载请先联系作者并标记出处。

java springboot

扫描下方二维码,加入Java方向技术交流讨论群。暗号:加群

评论

tubu

2018-10-25 20:50:33.0 回复
感谢博主的文章,有个问题想探讨一下。在使用HTTPS的情况下,所有HTTP协议层的数据都已经被加密过了,文中所述的方法是否就无必要了?
尹吉欢@tubu 如果是app里的请求,通过抓包的方式是无法获取请求内容的,如果在网页中抓包还是可以看到请求体的
2018-10-25 21:22:30.0 回复
tubu@尹吉欢 通过Chrome等浏览器自带的developer tool查看Network的确是可以看到未被TLS加密的内容。不过正常来说,网站上允许未授权访问的页面/接口内容应该是可以允许任何用户查看的,如果需要权限保护的页面/接口那也只有拥有权限的用户登录之后才能使用此种方式来查看,所以我理解这可能不算是一个安全问题吧?
2018-10-26 13:54:42.0 回复
尹吉欢@tubu 只要能看到,那么我有别人的账号我就可以模拟登录,然后抓数据啊
2018-10-29 13:08:15.0 回复
评论

泷泽

2019-11-21 08:58:22.0 回复
在RSA阶段 伪客户端一样可以获取你的 pubkey1,分析JS后 伪客户端也可以通过JS RSA生成 Public2 和private2 继续与服务端通信 获取AES 对称加密的密码 之后再模拟所有请求 ?