首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  信息安全

自己的小程序 Java 服务端 api 怎么做鉴权访问?发红包活动被黑客搞了,api 直接被黑客调用了

  •  
  •   gancl · 55 天前 · 1073 次点击
    这是一个创建于 55 天前的主题,其中的信息可能已经有所发展或是发生改变。
    3 回复  |  直到 2019-11-06 09:52:55 +08:00
        1
    onice   32 天前
    JWT 啊,登录后给客户端一个 tokan,访问接口之前验证 token,通过才返回数据,不通过就拦截。
        2
    gancl   32 天前
    @onice wx.login 时获取了自己服务器的 jwt 的 token, 设置超时为 4 个小时, 偶尔会出现客户的 token 超时的情况, 这个要怎么防止呢?
        3
    onice   31 天前
    @gancl 判断超时不是由后端来做的么?客户端只负责存储 token,并在请求接口的时候携带 token。我的做法是把 token 放到 redis 里面,例如用户名唯一的情况下,可以以用户名作为 redis 的 key,value 就放 token,客户端访问登陆接口的时候,如果验证通过,就生成一条 token 放入 redis,并设置超时时间。然后配置权限拦截器,每次请求接口经过拦截器,拦截器就从 redis 取出 token,和接口请求携带的 token 做比较,一致就通过,不一致就不通过。如果 redis 的 token 不存在,则说明 token 过期了,提示用户重新登录。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1340 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 19ms · UTC 00:14 · PVG 08:14 · LAX 16:14 · JFK 19:14
    ♥ Do have faith in what you're doing.