生产环境开一个接口方便删除数据

349 天前
 tbc3211

会加个写死的 token 校验,运维操作需要用这个接口, 这样是否安全:(

2563 次点击
所在节点    程序员
23 条回复
gy123
349 天前
感觉不是很安全~或者简单点把这个 token 存到数据库随时能变也比你这强点...
Rache1
349 天前
你要这么问的话,肯定不安全,要不上个 TOTP
baihekong
349 天前
没有管理后台吗?
xiangyuecn
349 天前
早晚背锅
orzorzorzorz
349 天前
硬要开不如直接开个 ssh 隧道。
infun
349 天前
不安全!不要做这种事,提单子给 DBA 去做
illl
349 天前
然后把 token 写到前端注释里去😼
franktopplus
349 天前
敬畏墨菲定律,早晚会出事
zjp
349 天前
务必用 GET 方法🤣
cwcc
349 天前
把这个接口变成管理功能的一部分,例如写个按钮,合理合法。
Daniel17
349 天前
不行的。
xmumiffy
349 天前
你们完全没有任何的单点登入系统么,企业微信都行.用企业微信来鉴权
goodryb
349 天前
生产环境、删除数据、写死 token , 到时候出事了连谁搞得都查不清楚
hongfs
349 天前
看公司多大啊,一个小小业务,有必要考虑那么多吗,,没出事那他就是安全的。
owen800q
349 天前
接口 whitelist ip , 只允许内网调用
iyaozhen
349 天前
token 其实没啥用,也就比 url 安全点,别人也不知道你 url 呀

至少得和用户身份绑定,到时候也好追查
jiayouzl
349 天前
这不是很简单的嘛!这个接口你加个密码不就行了么&password=12345 类似这样不就行了,还写死 TOKEN.....肯定不安全.
rekulas
349 天前
仅从安全性上来看,用随机生成的 token 的 hash 值校验,确保其他人看到源码也无法利用的话,我觉得是没有安全风险的 只是流程不合规
Evrins
349 天前
??? 出事情谁背锅呀.
这个操作完全不行呀, 运维为什么要去动线上的数据呀?
yolee599
348 天前
好家伙,要是谁有点小心思直接清空全部数据,查都查不出来

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/998140

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX