自己的小程序 Java 服务端 api 怎么做鉴权访问?发红包活动被黑客搞了,api 直接被黑客调用了

2019-10-13 22:30:02 +08:00
 gancl
4034 次点击
所在节点    信息安全
3 条回复
onice
2019-11-05 14:08:53 +08:00
JWT 啊,登录后给客户端一个 tokan,访问接口之前验证 token,通过才返回数据,不通过就拦截。
gancl
2019-11-05 20:46:07 +08:00
@onice wx.login 时获取了自己服务器的 jwt 的 token, 设置超时为 4 个小时, 偶尔会出现客户的 token 超时的情况, 这个要怎么防止呢?
onice
2019-11-06 09:52:55 +08:00
@gancl 判断超时不是由后端来做的么?客户端只负责存储 token,并在请求接口的时候携带 token。我的做法是把 token 放到 redis 里面,例如用户名唯一的情况下,可以以用户名作为 redis 的 key,value 就放 token,客户端访问登陆接口的时候,如果验证通过,就生成一条 token 放入 redis,并设置超时时间。然后配置权限拦截器,每次请求接口经过拦截器,拦截器就从 redis 取出 token,和接口请求携带的 token 做比较,一致就通过,不一致就不通过。如果 redis 的 token 不存在,则说明 token 过期了,提示用户重新登录。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/608948

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX