84669 人が学習中
152542 人が学習中
20005 人が学習中
5487 人が学習中
7821 人が学習中
359900 人が学習中
3350 人が学習中
180660 人が学習中
48569 人が学習中
18603 人が学習中
40936 人が学習中
1549 人が学習中
1183 人が学習中
32909 人が学習中
请求登录接口后接口返回秘钥存储在cookie里安全么,如果cookie里面的秘钥被获取不是就可以随意调用接口了
认证0级讲师
モバイルアプリについて話しているのですか?通常、これにはセッションは必要ありません。ログイン時に、アプリはこのトークンを他のインターフェイスの認証として使用します。このトークンは、フロントエンドとバックエンドの暗号化検証方法に同意できます。
安全性の問題を考慮する場合:
他の人はまず、トークン値がいつ返されたかを知る必要があり、それからパケットをキャプチャする必要があります。次に、バックエンド インターフェイス URL に https を使用することを検討して、他のユーザーがパケットをキャプチャしても何もキャプチャできないようにします。
第 2 に、返されるトークンは RSA 秘密キーで暗号化されたトークンを返すことができ、アプリは公開キー復号化トークンを保存し、後続のトークンまたはその他の機密パラメーターを RSA で暗号化できます。 あなたの公開キーがなければ、他の人は暗号化または復号化できません。
他の人がアプリを逆コンパイルし、コードに保存したトークンを見つけたとします。その場合、検証のために追加のパラメーター st を渡すこともできます。これは簡単です。すべてのパラメーターをアルファベット順に並べ、トランスコード、md5、値を取得します。そしてそれを渡します。パラメータを受け入れた後、バックグラウンドは同じことを実行して st の値を比較します。矛盾している場合は変更されたとみなされ、バックグラウンドは不正なパラメータ プロンプトを返します。
1つのアプリに1つの公開鍵を設定することもでき(いわゆる1マシン、1シークレット)、バックグラウンドでアプリ側の公開鍵を随時更新できます。 このようにして、検証ルールと RSA 公開キーが他の人に知られている場合でも、他の人は損失を最小限に抑えるためにこの携帯電話上のアプリを操作することしかできません。
——————————————
JavaScript について話していることに気づきませんでしたが、JavaScript はこの方法でも実装できます。
トークンにはログイン情報、IPアドレス、ログイン時間など、および一連の変更が含まれていると想像できますが、トークンには独自の有効期限があり、期限が切れると使用できなくなりますので、依然として非常に安全です
WeChat アプレットのログイン インターフェースを参照できますhttps://mp.weixin.qq.com/debu...
モバイルアプリについて話しているのですか?通常、これにはセッションは必要ありません。ログイン時に、アプリはこのトークンを他のインターフェイスの認証として使用します。このトークンは、フロントエンドとバックエンドの暗号化検証方法に同意できます。
安全性の問題を考慮する場合:
他の人はまず、トークン値がいつ返されたかを知る必要があり、それからパケットをキャプチャする必要があります。次に、バックエンド インターフェイス URL に https を使用することを検討して、他のユーザーがパケットをキャプチャしても何もキャプチャできないようにします。
第 2 に、返されるトークンは RSA 秘密キーで暗号化されたトークンを返すことができ、アプリは公開キー復号化トークンを保存し、後続のトークンまたはその他の機密パラメーターを RSA で暗号化できます。 あなたの公開キーがなければ、他の人は暗号化または復号化できません。
他の人がアプリを逆コンパイルし、コードに保存したトークンを見つけたとします。その場合、検証のために追加のパラメーター st を渡すこともできます。これは簡単です。すべてのパラメーターをアルファベット順に並べ、トランスコード、md5、値を取得します。そしてそれを渡します。パラメータを受け入れた後、バックグラウンドは同じことを実行して st の値を比較します。矛盾している場合は変更されたとみなされ、バックグラウンドは不正なパラメータ プロンプトを返します。
1つのアプリに1つの公開鍵を設定することもでき(いわゆる1マシン、1シークレット)、バックグラウンドでアプリ側の公開鍵を随時更新できます。 このようにして、検証ルールと RSA 公開キーが他の人に知られている場合でも、他の人は損失を最小限に抑えるためにこの携帯電話上のアプリを操作することしかできません。
——————————————
JavaScript について話していることに気づきませんでしたが、JavaScript はこの方法でも実装できます。
トークンにはログイン情報、IPアドレス、ログイン時間など、および一連の変更が含まれていると想像できますが、トークンには独自の有効期限があり、期限が切れると使用できなくなりますので、依然として非常に安全です
WeChat アプレットのログイン インターフェースを参照できます
https://mp.weixin.qq.com/debu...