V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  Apiao  ›  全部回复第 1 页 / 共 1 页
回复总数  4
2019-05-22 15:08:50 +08:00
回复了 Apiao 创建的主题 程序员 关于动态鉴权 求教~
@hakono 对,其实就是只要有了后面的链接谁都能访问,因为所有校验信息都包含在 url 里了,这个要再重新做鉴权该如何操作呢?让用户加新的 key 吗?
2019-05-22 15:07:03 +08:00
回复了 Apiao 创建的主题 程序员 关于动态鉴权 求教~
@lihongjie0209 3A 具体是指?
2019-05-22 15:01:41 +08:00
回复了 Apiao 创建的主题 程序员 关于动态鉴权 求教~
@raptor 其实收费的 url 里是有鉴权的,但这些信息都已经包含在先前返回的 url 里了,如果劫持者拿到这个 url 就可以直接访问
2019-05-22 14:47:31 +08:00
回复了 Apiao 创建的主题 程序员 关于动态鉴权 求教~
# 抛砖引玉
目前我的一个想法是加入 IP 校验,即服务端鉴权时检验该 IP 是否为发起请求时的 IP,不是则拒绝,这个方案的优点是可以平滑升级,缺点是无法保证每次都能拿到用户的真实 IP,有误杀的风险(虽然我感觉风险挺低的。。)
问该方案是否还有其他弊端?
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3217 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 10ms · UTC 12:15 · PVG 20:15 · LAX 04:15 · JFK 07:15
Developed with CodeLauncher
♥ Do have faith in what you're doing.