找回密码
 立即注册

QQ登录

只需一步,快速开始

app转转风 悬赏达人认证 活字格认证

中级会员

35

主题

194

帖子

553

积分

中级会员

积分
553

活字格高级认证圣诞拼拼乐悬赏达人活字格认证

app转转风 悬赏达人认证 活字格认证
中级会员   /  发表于:2022-6-22 00:00  /   查看:2763  /  回复:4
本帖最后由 Patrick.Zhu 于 2024-4-11 11:53 编辑

通过设计器可以直接创建服务端命令,会得到一个供外部调用的url地址,即webapi接口地址。

但这个webapi地址可以被任意人访问,存在一定安全风险。

8.0增加了 客户端授权 的功能,分配客户端标识和密钥,客户端先通过 客户端标识和密钥 获取Token,后续再通过Token来调用webapi,
在实际应用中,是不是不应该让前端直接使用客户端标识和密钥来获取Token呀?因为存在客户端标识和密钥被网络截取的风险,

我想应该由第三方应用从其服务器调用/UserService/connect/token 来获取Token吧?这样就减少了客户端标识和密钥被网络截取的风险。
但这样,是不是还存在Token被冒用的情况?毕竟令牌token是有时效的,默认7200秒,在这个时间内就有可能被冒用。

是不是可以限制Token请求的IP范围或是终端,比如A电脑上请求获取到的Token只能在A电脑上使用?

4 个回复

倒序浏览
数据民工悬赏达人认证 活字格认证
高级会员   /  发表于:2022-6-22 08:35:47
沙发
本帖最后由 数据民工 于 2022-6-22 08:36 编辑

可以查看吴老师的帖子,研究一下

【小胖课堂】别的小朋友有的,我们也要有!WebApi开发实例



你说的安全隐患,客户端标识符,是你颁发给使用者的,所以只要你能保证信息传递过程安全,这个API的使用就是安全的。这个安全责任不在系统这边,而在管理员身上

回复 使用道具 举报
Chelsey.Wang讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2022-6-22 09:53:54
板凳
感谢楼上大佬的支持,目前客户端标识和密钥是由管理员颁布给使用者使用的,这一步的安全性需要由管理员来确保~
关于IP白名单的功能,这边也记录了一个需求到需求列表当中,编号:41256,感谢您的反馈~
回复 使用道具 举报
app转转风悬赏达人认证 活字格认证
中级会员   /  发表于:2022-6-24 10:52:26
地板
数据民工 发表于 2022-6-22 08:35
可以查看吴老师的帖子,研究一下

【小胖课堂】别的小朋友有的,我们也要有!WebApi开发实例

感谢回复。我就是看到吴老师的分享才想到这个问题的。
标识、密钥是管理分配给使用者是没有错的。
但从系统安全方面来说,要保证使用者在使用过程中, 相关的机密信息不会被第三方截取、冒用。

当然,可以强制要求使用https,对传输进行加密保护。
回复 使用道具 举报
Chelsey.Wang讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2022-6-24 17:30:18
5#
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 立即注册
返回顶部