贴图库家的程序员真牛 b，『没时间解释』

就是一个简单的名字空间吧 233 。
类似那种谁都可以上传的公共空间，只不过需要有人站出来买单， 233

我觉得似乎这里主要是例子写错了，这个东西可能本来只适合后端用
至于说不小心暴露之后没法改的问题，似乎很多服务都做成这样了，比如微信的 appid 和 secret （别人跟我说可以换，我没找到在哪换的

那其实比如阿里 oss 服务，你根本没法限制说只放出多少下载量（可能有吧，我读文档没找到）我感觉也是一个漏洞，和 po 主的空间被占用的问题有点类似。不过如果别人传些反党反政府的内容到你那就不好了……

@jy02534655 那我可以注册一个你们的账号，模拟登陆或者请求时带 cookie ，还能怎么防？

@only0jac 这种问题你通过服务端中转图片也是需要考虑的吧，不只是前端直传才有的问题。服务端中转怎么防前端请求 token 就用同样的策略，防不了只能当正常用户来咯。

@jy02534655 后端很容易防住， token 在后端算，这样的话只能通过自己站上传，别人也没法恶习批量上传垃圾图，当然，要是非得说”“你网站很牛逼？”，那就没法子了，哈哈

以前加过他们群,还帮他们写过客户端(虽然被主动拒绝使用了),这个"行者"至少在当时还是一个不错的人.
没有上下文不做其他评论.

1.就算 token 存在一次性 本来不就是暴露给用户传图到你相册的吗 。 2.防止滥用问题 他本来就是免费 还要啥自行车。 3.我司应用一天 1T 流量，所以之前在找流量便宜的图片空间，以前跟他们聊过，他家带宽不要钱，所以便宜，但是移动访问不了，最后放弃，还是用了 X 牛。

@rootx 牛家的确实很好用， 1t 的量，你司业务很大啊

就这种牛逼哄哄的态度，不出大问题，会听进去意见吗？会去想吗？

贴图库辣鸡，居然还有人用

纯前端不应该有这种 token 的验证方式，而是应该改成签名验证。
举个简单例子，用用户 id+时间戳+图片名+Token ，生成一个 hmac 签名，和 id 、时间戳、图片名一起发送到服务端。
服务端接收到以后，根据用户 id 从数据库里查出这个用户的真实 token ，对用户传过来的 id 、时间戳、图片名进行签名，再和用户传过来的签名进行比较。（可能中间还需要比较当前时间和用户传来的时间戳在一定范围内，防止重放枚举爆破攻击等）

如果光前端的话你做个校验不让别人进你的图片上传页面就行了，当然你要隐藏这个 token 并且将图片上传提供给别人只有自己在后台发起请求了。所以你这个问题，问我我也有点烦。当然态度并不会那么差。

『没时间解释』我以为要开车赶紧上车呢！！

@only0jac 消息管理器里面还可以找到聊天记录

@only0jac 带宽不要钱别是吃百度云加速的吧 2333 ，云加速移动访问也经常出问题

@phithon 不太明白欸，能否详细说下？一直觉得前端防这个简直无解，谢谢


@bk201 “不让别人进你的图片上传页面就行”，如果开放注册的话，任何注册用户肯定是可以看到的

@only0jac 既然你都有注册了，难道你还是纯前端？肯定放到后端去呀。而官方只是简单给了个使用的例子，让你明白怎么调用而不是照抄。

没想着要做好的程序员

对方只是提供了一个简单的接口，写了个简单的例子来说明接口的用法，不适合某些业务可以自己加个中转吧。。。
说实话，面对楼主的疑问，回答除了“这只是个例子”以外，不知道还能回答什么

前端可以 jwt

@only0jac
你可以这么理解，你不是怕 Token 被别人拿到么，那你就把 Token 和文件名一起 md5 以后，作为一个新 Token 。
但这个方法需要“贴图库”那边支持，他们那边拿到这个新的 Token ，需要将你原本的 token 和文件名一起 md5 ，再和新的 Token 比较。