[FORGUNCY-3153][41256]通过服务端命令发布webapi的安全性问题

收藏

本帖最后由 Patrick.Zhu 于 2024-4-11 11:53 编辑

通过设计器可以直接创建服务端命令，会得到一个供外部调用的url地址，即webapi接口地址。

但这个webapi地址可以被任意人访问，存在一定安全风险。

8.0增加了客户端授权的功能，分配客户端标识和密钥，客户端先通过客户端标识和密钥获取Token，后续再通过Token来调用webapi，
在实际应用中，是不是不应该让前端直接使用客户端标识和密钥来获取Token呀？因为存在客户端标识和密钥被网络截取的风险，

我想应该由第三方应用从其服务器调用/UserService/connect/token 来获取Token吧？这样就减少了客户端标识和密钥被网络截取的风险。
但这样，是不是还存在Token被冒用的情况？毕竟令牌token是有时效的，默认7200秒，在这个时间内就有可能被冒用。

是不是可以限制Token请求的IP范围或是终端，比如A电脑上请求获取到的Token只能在A电脑上使用?

数据民工 · 数据民工

本帖最后由数据民工于 2022-6-22 08:36 编辑

可以查看吴老师的帖子，研究一下

【小胖课堂】别的小朋友有的，我们也要有！WebApi开发实例

你说的安全隐患，客户端标识符，是你颁发给使用者的，所以只要你能保证信息传递过程安全，这个API的使用就是安全的。这个安全责任不在系统这边，而在管理员身上

Chelsey.Wang · Chelsey.Wang

感谢楼上大佬的支持，目前客户端标识和密钥是由管理员颁布给使用者使用的，这一步的安全性需要由管理员来确保~
关于IP白名单的功能，这边也记录了一个需求到需求列表当中，编号：41256，感谢您的反馈~

app转转风 · app转转风

数据民工发表于 2022-6-22 08:35
可以查看吴老师的帖子，研究一下

【小胖课堂】别的小朋友有的，我们也要有！WebApi开发实例

感谢回复。我就是看到吴老师的分享才想到这个问题的。
标识、密钥是管理分配给使用者是没有错的。
但从系统安全方面来说，要保证使用者在使用过程中，相关的机密信息不会被第三方截取、冒用。

当然，可以强制要求使用https，对传输进行加密保护。

Chelsey.Wang · Chelsey.Wang

		自动登录	找回密码
密码			立即注册

[已采纳] [FORGUNCY-3153][41256]通过服务端命令发布webapi的安全性问题

4 个回复

活字格高级认证

圣诞拼拼乐

悬赏达人

活字格认证

时代开发者征文活动

微信认证勋章

讲师达人