Eyon 最近的时间轴更新
Eyon

Eyon

喜欢吃腊肉
V2EX 第 11035 号会员,加入于 2011-08-13 23:26:47 +08:00
没搞懂 HTTP 请求的安全验证,求指导!
问与答  •  Eyon  •  33 天前  •  最后回复来自 mxT52CRuqR6o5
81
老年人友好的搜附近地点小程序
分享创造  •  Eyon  •  53 天前  •  最后回复来自 Ccf
8
又做了一个小程序——搜附近
  •  1   
    分享创造  •  Eyon  •  80 天前  •  最后回复来自 binaryify
    17
    查 Apple 设备激活时间及保修到期时间的小程序
    分享创造  •  Eyon  •  86 天前  •  最后回复来自 AeroZen
    9
    Element UI 怎么能够获取 el-table 渲染后的数据
    问与答  •  Eyon  •  260 天前  •  最后回复来自 Eyon
    4
    快捷指令(捷径)还挺好玩的~~
    分享发现  •  Eyon  •  332 天前  •  最后回复来自 unicloud
    2
    阿里小程序云(目前)完全免费,甚至包括云存储
    分享发现  •  Eyon  •  2021-07-07 10:25:48 AM  •  最后回复来自 lonelymarried
    2
    后置摄像头不能用了的 iPhone 8 还能值多少钱?
    二手交易  •  Eyon  •  2021-06-03 08:59:32 AM  •  最后回复来自 Redmi2020
    13
    Eyon 最近回复了
    35 天前
    回复了 Eyon 创建的主题 问与答 没搞懂 HTTP 请求的安全验证,求指导!
    @iyear
    @Pastsong

    为什么我看 V2EX 的请求头中没有 Authorization 这一行,看不到这一行是不是代表站长一定没有用 Authorization 这个参数来鉴权获取本帖的评论列表?
    35 天前
    回复了 Eyon 创建的主题 问与答 没搞懂 HTTP 请求的安全验证,求指导!
    @iyear 我的意思不是抓包那么复杂。

    而是,用户既然看得到这个 Authorization: Basic xxxxxxxx 这一串,可以直接在 Postman 中请求得到 json 格式的帖子列表,而用不着抓包,这个不是很尴尬吗?
    35 天前
    回复了 Eyon 创建的主题 问与答 没搞懂 HTTP 请求的安全验证,求指导!
    @iyear 那么,你是不是可以非常非常非常非常轻松的获取到 V2EX 的帖子列表 JSON 数据?
    35 天前
    回复了 Eyon 创建的主题 问与答 没搞懂 HTTP 请求的安全验证,求指导!
    @leo108 比如我服务器要求 token=abcdefg ,但是怎么让客户端知道我服务器要求 token=abcdefg ,让它能够用这个 abcdefg 来请求数据呢?
    35 天前
    回复了 Eyon 创建的主题 问与答 没搞懂 HTTP 请求的安全验证,求指导!
    @huxins 那么,你是不是可以非常非常非常非常轻松的获取到 V2EX 的帖子列表 JSON 数据?
    35 天前
    回复了 Eyon 创建的主题 问与答 没搞懂 HTTP 请求的安全验证,求指导!
    @huxins 比如,我做个图书网站,里面有 10000 本书。
    在浏览器中,我用 get_books_list 这个请求,得到这 10000 本书的 array ,然后在浏览器中展现出来供用户浏览。

    但是,用户也可以直接在 postman 中,用上他在浏览器中看到的 auth token ,直接在 postman 中请求 get_books_list 这个接口,得到我这 10000 本书的 json 数据,包括价格、图片、isbn 等等,这不是很尴尬吗?

    难道,本来就是这样的?
    35 天前
    回复了 Eyon 创建的主题 问与答 没搞懂 HTTP 请求的安全验证,求指导!
    @ryd994 通过限时限次,在网页中嵌入 token 的流程是一个什么样的流程呢?

    我目前是想当然的认为:

    所有的用户打开浏览器首页,都发送 auth:abcdefg ,服务器端判断确实有 auth:abcdefg 这个字段,就放行数据。也就是:

    在 index.html 的 js 中写死‘abcdefg’这个 auth————————>服务器端接收,给数据。

    当然,这个流程一定是不对的,应该是一个什么样的流程呢?
    35 天前
    回复了 Eyon 创建的主题 问与答 没搞懂 HTTP 请求的安全验证,求指导!
    @ryd994 我不过是想挡住浏览器用户而已。也就是说用户请求我的页面,页面可以获取这一份数据。但是如果他拿到 postman 中,就不能获取我这个数据。
    35 天前
    回复了 Eyon 创建的主题 问与答 没搞懂 HTTP 请求的安全验证,求指导!
    @cheneydog 关键是客户端的用户也有可能拿着我这个“abcdefg”去用 postman 请求啊,因为他浏览器能看到。

    这个帖子没有讨论中间人攻击什么的。
    35 天前
    回复了 Eyon 创建的主题 问与答 没搞懂 HTTP 请求的安全验证,求指导!
    @gkirito 没有设计用户系统,所以我就不知道这个东西的意义在哪里。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1899 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 16:45 · PVG 00:45 · LAX 09:45 · JFK 12:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.