这是一个创建于 377 天前的主题,其中的信息可能已经有所发展或是发生改变。
会加个写死的 token 校验,运维操作需要用这个接口, 这样是否安全:(
 |
1
gy123 2023-12-06 18:05:48 +08:00
感觉不是很安全~或者简单点把这个 token 存到数据库随时能变也比你这强点...
|
 |
2
Rache1 2023-12-06 18:05:49 +08:00
你要这么问的话,肯定不安全,要不上个 TOTP
|
 |
3
baihekong 2023-12-06 18:09:01 +08:00
没有管理后台吗?
|
 |
4
xiangyuecn 2023-12-06 18:12:07 +08:00
早晚背锅
|
 |
5
orzorzorzorz 2023-12-06 18:14:37 +08:00
硬要开不如直接开个 ssh 隧道。
|
 |
6
infun 2023-12-06 18:16:03 +08:00  1
不安全!不要做这种事,提单子给 DBA 去做
|
 |
7
illl 2023-12-06 18:16:11 +08:00 via iPhone
然后把 token 写到前端注释里去😼
|
 |
8
franktopplus 2023-12-06 19:45:41 +08:00 via Android
敬畏墨菲定律,早晚会出事
|
 |
9
zjp 2023-12-06 20:07:05 +08:00 via Android
务必用 GET 方法🤣
|
 |
10
cwcc 2023-12-06 20:13:04 +08:00
把这个接口变成管理功能的一部分,例如写个按钮,合理合法。
|
 |
11
Daniel17 2023-12-06 20:15:26 +08:00
不行的。
|
 |
12
xmumiffy 2023-12-06 20:31:39 +08:00
你们完全没有任何的单点登入系统么,企业微信都行.用企业微信来鉴权
|
 |
13
goodryb 2023-12-06 20:44:14 +08:00
生产环境、删除数据、写死 token , 到时候出事了连谁搞得都查不清楚
|
 |
14
hongfs 2023-12-06 20:46:49 +08:00
看公司多大啊,一个小小业务,有必要考虑那么多吗,,没出事那他就是安全的。
|
 |
15
owen800q 2023-12-06 20:52:05 +08:00 via iPhone
接口 whitelist ip , 只允许内网调用
|
 |
16
iyaozhen 2023-12-06 20:58:05 +08:00
token 其实没啥用,也就比 url 安全点,别人也不知道你 url 呀
至少得和用户身份绑定,到时候也好追查 |
 |
17
jiayouzl 2023-12-06 21:03:56 +08:00
这不是很简单的嘛!这个接口你加个密码不就行了么&password=12345 类似这样不就行了,还写死 TOKEN.....肯定不安全.
|
 |
18
rekulas 2023-12-06 21:36:41 +08:00
仅从安全性上来看,用随机生成的 token 的 hash 值校验,确保其他人看到源码也无法利用的话,我觉得是没有安全风险的 只是流程不合规
|
 |
19
Evrins 2023-12-06 21:47:26 +08:00
??? 出事情谁背锅呀.
这个操作完全不行呀, 运维为什么要去动线上的数据呀? |
 |
20
yolee599 2023-12-07 09:00:15 +08:00 via Android
好家伙,要是谁有点小心思直接清空全部数据,查都查不出来
|
 |
21
shellus 2023-12-07 09:24:35 +08:00
最危险的就是你了,如果你和公司闹掰了,你就会用这个漏洞去报复公司
|
 |
22
flyqie 2023-12-07 09:28:53 +08:00 via Android
离职泄愤了解一下。。
|
 |
23
Kinnice 2023-12-07 14:09:12 +08:00
以时间戳+salt 生成个 md5 临时出来的 key ,可以简单满足安全
|
Select Language