要不是亲眼看到,我不知道这个功能还能这样设计
1
Laobai 223 天前
改密码登不上,也达到删除的目的了 doge
|
2
aikilan 223 天前 1
......令人莞尔
|
3
drymonfidelia OP @Laobai 更逆天的是他把新密码硬编码在前端
|
4
janus77 223 天前
那如果再试一下登录 提示不就变成密码错误而不是“该账户不存在”了
|
5
JIAOSHOUV578 223 天前
@janus77 现在都提示“错误或不存在”防你猜账号
|
6
Laobai 223 天前
@drymonfidelia 很正常,这个世界就是一个草台班子
|
7
winterpotato 223 天前
🤣 这不 GDPR 哈哈哈
|
8
ajaxgoldfish 223 天前 1
牛逼,别人是不是能根据这个密码登录已经注销的账户
|
9
tiiis 223 天前 1
要是 ID 是自增,然后获取了所有已删除的号
|
10
bxb100 223 天前 1
另类软删 flag, 我前司也是这么做的
|
11
drymonfidelia OP @janus77 不管用户是否存在,登录页面确实像 6 楼说的会提示 用户名或密码错误
但是不用这么麻烦,找回密码就能登录了 |
12
wysnxzm 223 天前
欲言又止
|
14
Troevil 223 天前
软删很正常 ,只是做法是错的
|
15
buf1024 223 天前
你没看错,不是前端的问题,也不是后台的问题,需求就是这样!!!
为什么?因为根据注销情况统计绩效,如果直接删除账户,那么每个月有效用户的统计数据就会变少,直接口绩效工资,所以只能用这种方式。 |
16
nomagick 223 天前
其实本站也。。。。
|
17
fruitmonster 223 天前
@buf1024 那不能软删除吗? 比如:“禁用”状态,非要改密码?
|
18
zsj1029 223 天前
也许是没有删除接口
|
19
buf1024 223 天前
@fruitmonster 理论上能,不过该密码比改禁用状态稍微好点,因为改状态是平台的行为,该密码则是用户的行为。该密码则可以认为是用户自己的操作。
|
20
fruitmonster 223 天前
@buf1024 #19 改密码的话,那现在有个需求是区分“删除用户”和正常用户的数据,怎么区分
|
21
fruitmonster 223 天前
@zsj1029 我第一反应就是改密码接口是现成的,删除没有,懒得写,啊哈哈哈哈
|
22
Vegetable 223 天前 1
密码暴露的危害都不说,就问问,这系统如何判断用户已经被删除了?通过密码?意味着密码是可识别的?至少是没有 salt 的?
|
23
shadowyue 223 天前
用状态标识确实才是正常开发的直接,不过大概率这种是为了兼容以前的逻辑,比如上面说的有统计的需求,当时写统计的时候还没状态这个字段这种
|
24
darkengine 223 天前
最大的问题难道不是把新密码的明文写到前端了么。。。。。。
|
25
leaflxh 223 天前
这可不是草台班子了,谁会把家里防盗门的备用钥匙放门框上
|
26
shenzye 223 天前 via Android
偷懒就算了,连随机数都懒得取一个就过分了
|
27
whileFalse 223 天前 via Android
最牛逼的是前端调一个接口能直接改密码
|
28
xiaozirun 223 天前
用户重新注册怎么办🤣 系统是用手机号还是邮箱注册的
|
29
hefish 223 天前
这说不定是人家甲方要求这么设计的,我觉着问题不大。
|
30
drymonfidelia OP |
31
Kinnice 223 天前 via Android
想到一个奇怪的点子,后端判断如果密码是这个就随机一个密码.直接疯狂迷惑
|
32
buf1024 223 天前
@fruitmonster 不用区分,因为没有删除的用户,如果真要有删除功能,等删除功能上线后,再统计。
|
33
ecloud 223 天前
我记得工信部有个什么规定,必须提供删除账号功能
|
34
forty 223 天前
删除账号,一般要求相关的内容也要删除的,可以软删除没问题,但该账号的前台数据必须隐藏或者标记。
OP 贴的这种方式,只能防小白登录,但是小白也能看到内容还在啊。 |
35
zhao8681286 223 天前
@fruitmonster #20 咱不是有固定的密码么
|
36
opengps 223 天前
有没有可能,这不是功能设计,只是用不到的功能先不开发
|
37
ashuai 223 天前
这个接口命名不对,明明是在作 setPassword 的操作,他命名为 changePassword
|
38
Tink 223 天前
不就一个账号吗,都是浮云
|
39
j8sec 222 天前
也许他在登录接口判断密码 deletedaccount 开头就报错:Account deleted.
这样就和注销删除账号功能幂等了 |
40
fruitmonster 222 天前
@zhao8681286 我期待这个回答期待了一个下午了,直接检索固定密码就行了,哈哈哈,我管它呢,就是干!😂
|
41
Eliefly 222 天前
厉害了
|