V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tbc3211
V2EX  ›  程序员

生产环境开一个接口方便删除数据

  •  
  •   tbc3211 · 351 天前 · 2566 次点击
    这是一个创建于 351 天前的主题,其中的信息可能已经有所发展或是发生改变。

    会加个写死的 token 校验,运维操作需要用这个接口, 这样是否安全:(

    23 条回复    2023-12-07 14:09:12 +08:00
    gy123
        1
    gy123  
       351 天前
    感觉不是很安全~或者简单点把这个 token 存到数据库随时能变也比你这强点...
    Rache1
        2
    Rache1  
       351 天前
    你要这么问的话,肯定不安全,要不上个 TOTP
    baihekong
        3
    baihekong  
       351 天前
    没有管理后台吗?
    xiangyuecn
        4
    xiangyuecn  
       351 天前
    早晚背锅
    orzorzorzorz
        5
    orzorzorzorz  
       351 天前
    硬要开不如直接开个 ssh 隧道。
    infun
        6
    infun  
       351 天前   ❤️ 1
    不安全!不要做这种事,提单子给 DBA 去做
    illl
        7
    illl  
       351 天前 via iPhone
    然后把 token 写到前端注释里去😼
    franktopplus
        8
    franktopplus  
       351 天前 via Android
    敬畏墨菲定律,早晚会出事
    zjp
        9
    zjp  
       351 天前 via Android
    务必用 GET 方法🤣
    cwcc
        10
    cwcc  
       351 天前
    把这个接口变成管理功能的一部分,例如写个按钮,合理合法。
    Daniel17
        11
    Daniel17  
       351 天前
    不行的。
    xmumiffy
        12
    xmumiffy  
       351 天前
    你们完全没有任何的单点登入系统么,企业微信都行.用企业微信来鉴权
    goodryb
        13
    goodryb  
       351 天前
    生产环境、删除数据、写死 token , 到时候出事了连谁搞得都查不清楚
    hongfs
        14
    hongfs  
       351 天前
    看公司多大啊,一个小小业务,有必要考虑那么多吗,,没出事那他就是安全的。
    owen800q
        15
    owen800q  
       351 天前 via iPhone
    接口 whitelist ip , 只允许内网调用
    iyaozhen
        16
    iyaozhen  
       351 天前
    token 其实没啥用,也就比 url 安全点,别人也不知道你 url 呀

    至少得和用户身份绑定,到时候也好追查
    jiayouzl
        17
    jiayouzl  
       351 天前
    这不是很简单的嘛!这个接口你加个密码不就行了么&password=12345 类似这样不就行了,还写死 TOKEN.....肯定不安全.
    rekulas
        18
    rekulas  
       351 天前
    仅从安全性上来看,用随机生成的 token 的 hash 值校验,确保其他人看到源码也无法利用的话,我觉得是没有安全风险的 只是流程不合规
    Evrins
        19
    Evrins  
       351 天前
    ??? 出事情谁背锅呀.
    这个操作完全不行呀, 运维为什么要去动线上的数据呀?
    yolee599
        20
    yolee599  
       350 天前 via Android
    好家伙,要是谁有点小心思直接清空全部数据,查都查不出来
    shellus
        21
    shellus  
       350 天前
    最危险的就是你了,如果你和公司闹掰了,你就会用这个漏洞去报复公司
    flyqie
        22
    flyqie  
       350 天前 via Android
    离职泄愤了解一下。。
    Kinnice
        23
    Kinnice  
       350 天前
    以时间戳+salt 生成个 md5 临时出来的 key ,可以简单满足安全
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1074 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 37ms · UTC 19:19 · PVG 03:19 · LAX 11:19 · JFK 14:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.