首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  Apiao  ›  全部回复第 1 页 / 共 1 页
回复总数  4
150 天前
回复了 Apiao 创建的主题 程序员 关于动态鉴权 求教~
@hakono 对,其实就是只要有了后面的链接谁都能访问,因为所有校验信息都包含在 url 里了,这个要再重新做鉴权该如何操作呢?让用户加新的 key 吗?
150 天前
回复了 Apiao 创建的主题 程序员 关于动态鉴权 求教~
@lihongjie0209 3A 具体是指?
150 天前
回复了 Apiao 创建的主题 程序员 关于动态鉴权 求教~
@raptor 其实收费的 url 里是有鉴权的,但这些信息都已经包含在先前返回的 url 里了,如果劫持者拿到这个 url 就可以直接访问
150 天前
回复了 Apiao 创建的主题 程序员 关于动态鉴权 求教~
# 抛砖引玉
目前我的一个想法是加入 IP 校验,即服务端鉴权时检验该 IP 是否为发起请求时的 IP,不是则拒绝,这个方案的优点是可以平滑升级,缺点是无法保证每次都能拿到用户的真实 IP,有误杀的风险(虽然我感觉风险挺低的。。)
问该方案是否还有其他弊端?
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1574 人在线   最高记录 5043   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.3 · 10ms · UTC 01:00 · PVG 09:00 · LAX 18:00 · JFK 21:00
♥ Do have faith in what you're doing.