会加个写死的 token 校验,运维操作需要用这个接口, 这样是否安全:(
1
gy123 351 天前
感觉不是很安全~或者简单点把这个 token 存到数据库随时能变也比你这强点...
|
2
Rache1 351 天前
你要这么问的话,肯定不安全,要不上个 TOTP
|
3
baihekong 351 天前
没有管理后台吗?
|
4
xiangyuecn 351 天前
早晚背锅
|
5
orzorzorzorz 351 天前
硬要开不如直接开个 ssh 隧道。
|
6
infun 351 天前 1
不安全!不要做这种事,提单子给 DBA 去做
|
7
illl 351 天前 via iPhone
然后把 token 写到前端注释里去😼
|
8
franktopplus 351 天前 via Android
敬畏墨菲定律,早晚会出事
|
9
zjp 351 天前 via Android
务必用 GET 方法🤣
|
10
cwcc 351 天前
把这个接口变成管理功能的一部分,例如写个按钮,合理合法。
|
11
Daniel17 351 天前
不行的。
|
12
xmumiffy 351 天前
你们完全没有任何的单点登入系统么,企业微信都行.用企业微信来鉴权
|
13
goodryb 351 天前
生产环境、删除数据、写死 token , 到时候出事了连谁搞得都查不清楚
|
14
hongfs 351 天前
看公司多大啊,一个小小业务,有必要考虑那么多吗,,没出事那他就是安全的。
|
15
owen800q 351 天前 via iPhone
接口 whitelist ip , 只允许内网调用
|
16
iyaozhen 351 天前
token 其实没啥用,也就比 url 安全点,别人也不知道你 url 呀
至少得和用户身份绑定,到时候也好追查 |
17
jiayouzl 351 天前
这不是很简单的嘛!这个接口你加个密码不就行了么&password=12345 类似这样不就行了,还写死 TOKEN.....肯定不安全.
|
18
rekulas 351 天前
仅从安全性上来看,用随机生成的 token 的 hash 值校验,确保其他人看到源码也无法利用的话,我觉得是没有安全风险的 只是流程不合规
|
19
Evrins 351 天前
??? 出事情谁背锅呀.
这个操作完全不行呀, 运维为什么要去动线上的数据呀? |
20
yolee599 350 天前 via Android
好家伙,要是谁有点小心思直接清空全部数据,查都查不出来
|
21
shellus 350 天前
最危险的就是你了,如果你和公司闹掰了,你就会用这个漏洞去报复公司
|
22
flyqie 350 天前 via Android
离职泄愤了解一下。。
|
23
Kinnice 350 天前
以时间戳+salt 生成个 md5 临时出来的 key ,可以简单满足安全
|