V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
tbc3211
V2EX  ›  程序员

生产环境开一个接口方便删除数据

  •  
  •   tbc3211 · 2023-12-06 18:01:58 +08:00 · 2606 次点击
    这是一个创建于 385 天前的主题,其中的信息可能已经有所发展或是发生改变。

    会加个写死的 token 校验,运维操作需要用这个接口, 这样是否安全:(

    23 条回复    2023-12-07 14:09:12 +08:00
    gy123
        1
    gy123  
       2023-12-06 18:05:48 +08:00
    感觉不是很安全~或者简单点把这个 token 存到数据库随时能变也比你这强点...
    Rache1
        2
    Rache1  
       2023-12-06 18:05:49 +08:00
    你要这么问的话,肯定不安全,要不上个 TOTP
    baihekong
        3
    baihekong  
       2023-12-06 18:09:01 +08:00
    没有管理后台吗?
    xiangyuecn
        4
    xiangyuecn  
       2023-12-06 18:12:07 +08:00
    早晚背锅
    orzorzorzorz
        5
    orzorzorzorz  
       2023-12-06 18:14:37 +08:00
    硬要开不如直接开个 ssh 隧道。
    infun
        6
    infun  
       2023-12-06 18:16:03 +08:00   ❤️ 1
    不安全!不要做这种事,提单子给 DBA 去做
    illl
        7
    illl  
       2023-12-06 18:16:11 +08:00 via iPhone
    然后把 token 写到前端注释里去😼
    franktopplus
        8
    franktopplus  
       2023-12-06 19:45:41 +08:00 via Android
    敬畏墨菲定律,早晚会出事
    zjp
        9
    zjp  
       2023-12-06 20:07:05 +08:00 via Android
    务必用 GET 方法🤣
    cwcc
        10
    cwcc  
       2023-12-06 20:13:04 +08:00
    把这个接口变成管理功能的一部分,例如写个按钮,合理合法。
    Daniel17
        11
    Daniel17  
       2023-12-06 20:15:26 +08:00
    不行的。
    xmumiffy
        12
    xmumiffy  
       2023-12-06 20:31:39 +08:00
    你们完全没有任何的单点登入系统么,企业微信都行.用企业微信来鉴权
    goodryb
        13
    goodryb  
       2023-12-06 20:44:14 +08:00
    生产环境、删除数据、写死 token , 到时候出事了连谁搞得都查不清楚
    hongfs
        14
    hongfs  
       2023-12-06 20:46:49 +08:00
    看公司多大啊,一个小小业务,有必要考虑那么多吗,,没出事那他就是安全的。
    owen800q
        15
    owen800q  
       2023-12-06 20:52:05 +08:00 via iPhone
    接口 whitelist ip , 只允许内网调用
    iyaozhen
        16
    iyaozhen  
       2023-12-06 20:58:05 +08:00
    token 其实没啥用,也就比 url 安全点,别人也不知道你 url 呀

    至少得和用户身份绑定,到时候也好追查
    jiayouzl
        17
    jiayouzl  
       2023-12-06 21:03:56 +08:00
    这不是很简单的嘛!这个接口你加个密码不就行了么&password=12345 类似这样不就行了,还写死 TOKEN.....肯定不安全.
    rekulas
        18
    rekulas  
       2023-12-06 21:36:41 +08:00
    仅从安全性上来看,用随机生成的 token 的 hash 值校验,确保其他人看到源码也无法利用的话,我觉得是没有安全风险的 只是流程不合规
    Evrins
        19
    Evrins  
       2023-12-06 21:47:26 +08:00
    ??? 出事情谁背锅呀.
    这个操作完全不行呀, 运维为什么要去动线上的数据呀?
    yolee599
        20
    yolee599  
       2023-12-07 09:00:15 +08:00 via Android
    好家伙,要是谁有点小心思直接清空全部数据,查都查不出来
    shellus
        21
    shellus  
       2023-12-07 09:24:35 +08:00
    最危险的就是你了,如果你和公司闹掰了,你就会用这个漏洞去报复公司
    flyqie
        22
    flyqie  
       2023-12-07 09:28:53 +08:00 via Android
    离职泄愤了解一下。。
    Kinnice
        23
    Kinnice  
       2023-12-07 14:09:12 +08:00
    以时间戳+salt 生成个 md5 临时出来的 key ,可以简单满足安全
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3529 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 04:43 · PVG 12:43 · LAX 20:43 · JFK 23:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.