所有的接口是不是如果知道接口跟参数就能拿到数据了?
来源:13-1 为小程序实现后端支付接口
拖车板牙爵士
2017-12-16
如果要在接口上加权限应该怎么弄,我发现如果知道接口跟接口参数,任何人就可以拿到后台的数据了,这样是不是非常不安全的,老师给个思路或者你知道的加权限的方法,我好根据你过来人的思路去进一步的学习下。非常感谢
写回答
1回答
-
Scott
2017-12-21
常见的就是两种做法,一种是登录身份验证,也就是说,只有登录的人才能调用这个端口,且调用这个端口的时候,登录人的 session 过来后,看这个用户有没有这个接口内数据的权限,相当于是 2 层验证,先判登录,再判身份。
另一个做法,就是服务器实现 Auth 2.0 协议,颁发 token 给使用者,使用者通过你设定的 auth 前置门槛或者权限先拿到 appkey appsecret,再来动态生成 token 对接口进行请求,本质上跟微信现在的一套验证体系类似
00
相似问题