生产环境开一个接口方便删除数据

会加个写死的 token 校验，运维操作需要用这个接口，这样是否安全:(

gy123

2023-12-06 18:05:48 +08:00

感觉不是很安全~或者简单点把这个 token 存到数据库随时能变也比你这强点...

Rache1

2023-12-06 18:05:49 +08:00

你要这么问的话，肯定不安全，要不上个 TOTP

orzorzorzorz

2023-12-06 18:14:37 +08:00

硬要开不如直接开个 ssh 隧道。

infun

2023-12-06 18:16:03 +08:00

不安全！不要做这种事，提单子给 DBA 去做

illl

2023-12-06 18:16:11 +08:00

然后把 token 写到前端注释里去😼

franktopplus

2023-12-06 19:45:41 +08:00

敬畏墨菲定律，早晚会出事

cwcc

2023-12-06 20:13:04 +08:00

把这个接口变成管理功能的一部分，例如写个按钮，合理合法。

xmumiffy

2023-12-06 20:31:39 +08:00

你们完全没有任何的单点登入系统么,企业微信都行.用企业微信来鉴权

goodryb

2023-12-06 20:44:14 +08:00

生产环境、删除数据、写死 token ，到时候出事了连谁搞得都查不清楚

hongfs

2023-12-06 20:46:49 +08:00

看公司多大啊，一个小小业务，有必要考虑那么多吗，，没出事那他就是安全的。

owen800q

2023-12-06 20:52:05 +08:00

接口 whitelist ip , 只允许内网调用

iyaozhen

2023-12-06 20:58:05 +08:00

token 其实没啥用，也就比 url 安全点，别人也不知道你 url 呀

至少得和用户身份绑定，到时候也好追查

jiayouzl

2023-12-06 21:03:56 +08:00

这不是很简单的嘛!这个接口你加个密码不就行了么&password=12345 类似这样不就行了,还写死 TOKEN.....肯定不安全.

rekulas

2023-12-06 21:36:41 +08:00

仅从安全性上来看,用随机生成的 token 的 hash 值校验,确保其他人看到源码也无法利用的话,我觉得是没有安全风险的只是流程不合规

Evrins

2023-12-06 21:47:26 +08:00

??? 出事情谁背锅呀.
这个操作完全不行呀, 运维为什么要去动线上的数据呀?

yolee599

2023-12-07 09:00:15 +08:00

好家伙，要是谁有点小心思直接清空全部数据，查都查不出来

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/998140

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.