V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
gancl
V2EX  ›  信息安全

自己的小程序 Java 服务端 api 怎么做鉴权访问?发红包活动被黑客搞了,api 直接被黑客调用了

  •  
  •   gancl · 2019-10-13 22:30:02 +08:00 · 3824 次点击
    这是一个创建于 1627 天前的主题,其中的信息可能已经有所发展或是发生改变。
    3 条回复    2019-11-06 09:52:55 +08:00
    onice
        1
    onice  
       2019-11-05 14:08:53 +08:00
    JWT 啊,登录后给客户端一个 tokan,访问接口之前验证 token,通过才返回数据,不通过就拦截。
    gancl
        2
    gancl  
    OP
       2019-11-05 20:46:07 +08:00
    @onice wx.login 时获取了自己服务器的 jwt 的 token, 设置超时为 4 个小时, 偶尔会出现客户的 token 超时的情况, 这个要怎么防止呢?
    onice
        3
    onice  
       2019-11-06 09:52:55 +08:00
    @gancl 判断超时不是由后端来做的么?客户端只负责存储 token,并在请求接口的时候携带 token。我的做法是把 token 放到 redis 里面,例如用户名唯一的情况下,可以以用户名作为 redis 的 key,value 就放 token,客户端访问登陆接口的时候,如果验证通过,就生成一条 token 放入 redis,并设置超时时间。然后配置权限拦截器,每次请求接口经过拦截器,拦截器就从 redis 取出 token,和接口请求携带的 token 做比较,一致就通过,不一致就不通过。如果 redis 的 token 不存在,则说明 token 过期了,提示用户重新登录。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3330 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 13:43 · PVG 21:43 · LAX 06:43 · JFK 09:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.