2回答

看你笑呵呵

2017-08-22

如果不加token，是不是你只要拿到了修改密码的接口就可以随意修改任何用户的密码呢

在checkAnswer中回答问题正确存入一个token，修改密码的接口去验证传入的token和本身获取的token是否相同来判断是否是同一个用户

1

3

lovis

回复

321121254

if(org.apache.commons.lang3.StringUtils.equals(forgetToken,token)){ String md5Password = MD5Util.MD5EncodeUtf8(passwordNew); int rowCount = userMapper.updatePasswordByUsername(username,md5Password); if(rowCount > 0){ return ServerResponse.createBySuccessMessage("修改密码成功"); } }else{ return ServerResponse.createByErrorMessage("token错误,请重新获取重置密码的token"); } update mmall_user SET password = #{passwordNew},update_time = now() where username = #{username} 如果你把有关token的代码都去掉，sql语句中，你只要知道用户名就可以修改密码，压根就不需要知道你的密码和问题

2018-03-06

共3条回复

慕粉1433416698

2018-10-01

登录状态下修改密码，不需要token吧。 只有未登录时，才需要token

0

0