V2EX = way to explore V2EX 是一个关于分享和探索的地方
Sign Up Now For Existing Member Sign In
请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 875 days ago, the information mentioned may be changed or developed.
会加个写死的 token 校验,运维操作需要用这个接口, 这样是否安全:(
 | 1 gy123 Dec 6, 2023 感觉不是很安全~或者简单点把这个 token 存到数据库随时能变也比你这强点... |
 | 2 Rache1 Dec 6, 2023 你要这么问的话,肯定不安全,要不上个 TOTP |
 | 3 baihekong Dec 6, 2023 没有管理后台吗? |
 | 4 xiangyuecn Dec 6, 2023 早晚背锅 |
 | 5 orzorzorzorz Dec 6, 2023 硬要开不如直接开个 ssh 隧道。 |
 | 6 GlobalNPC Dec 6, 2023  1 不安全!不要做这种事,提单子给 DBA 去做 |
 | 7 illl Dec 6, 2023 via iPhone 然后把 token 写到前端注释里去 |
 | 8 franktopplus Dec 6, 2023 via Android 敬畏墨菲定律,早晚会出事 |
 | 9 zjp Dec 6, 2023 via Android 务必用 GET 方法 |
 | 10 cwcc Dec 6, 2023 把这个接口变成管理功能的一部分,例如写个按钮,合理合法。 |
 | 11 Daniel17 Dec 6, 2023 不行的。 |
 | 12 106npo Dec 6, 2023 你们完全没有任何的单点登入系统么,企业微信都行.用企业微信来鉴权 |
 | 13 goodryb Dec 6, 2023 生产环境、删除数据、写死 token , 到时候出事了连谁搞得都查不清楚 |
 | 14 hongfs Dec 6, 2023 看公司多大啊,一个小小业务,有必要考虑那么多吗,,没出事那他就是安全的。 |
 | 15 owen800q Dec 6, 2023 via iPhone 接口 whitelist ip , 只允许内网调用 |
 | 16 iyaozhen Dec 6, 2023 token 其实没啥用,也就比 url 安全点,别人也不知道你 url 呀 至少得和用户身份绑定,到时候也好追查 |
 | 17 jiayouzl Dec 6, 2023 这不是很简单的嘛!这个接口你加个密码不就行了么&password=12345 类似这样不就行了,还写死 TOKEN.....肯定不安全. |
 | 18 rekulas Dec 6, 2023 仅从安全性上来看,用随机生成的 token 的 hash 值校验,确保其他人看到源码也无法利用的话,我觉得是没有安全风险的 只是流程不合规 |
 | 19 Evrins Dec 6, 2023 ??? 出事情谁背锅呀. 这个操作完全不行呀, 运维为什么要去动线上的数据呀? |
 | 20 yolee599 Dec 7, 2023 via Android 好家伙,要是谁有点小心思直接清空全部数据,查都查不出来 |
 | 21 shellus Dec 7, 2023 最危险的就是你了,如果你和公司闹掰了,你就会用这个漏洞去报复公司 |
 | 22 flyqie Dec 7, 2023 via Android 离职泄愤了解一下。。 |
 | 23 Kinnice Dec 7, 2023 以时间戳+salt 生成个 md5 临时出来的 key ,可以简单满足安全 |
Select Language