本帖最后由 Patrick.Zhu 于 2024-4-11 11:53 编辑
通过设计器可以直接创建服务端命令,会得到一个供外部调用的url地址,即webapi接口地址。
但这个webapi地址可以被任意人访问,存在一定安全风险。
8.0增加了 客户端授权 的功能,分配客户端标识和密钥,客户端先通过 客户端标识和密钥 获取Token,后续再通过Token来调用webapi,
在实际应用中,是不是不应该让前端直接使用客户端标识和密钥来获取Token呀?因为存在客户端标识和密钥被网络截取的风险,
我想应该由第三方应用从其服务器调用/UserService/connect/token 来获取Token吧?这样就减少了客户端标识和密钥被网络截取的风险。
但这样,是不是还存在Token被冒用的情况?毕竟令牌token是有时效的,默认7200秒,在这个时间内就有可能被冒用。
是不是可以限制Token请求的IP范围或是终端,比如A电脑上请求获取到的Token只能在A电脑上使用?
|
|