关于一个前端数据和后端数据加密的问题,项目组长都急了!

最近给甲方做的小程序项目因为赶时间,没有权限隔离,大部分 API 和管理端共用.

甲方找的第三方扫漏洞,说我们明文返回数据,数据越权.

为了解决问题,我们经理想到用 (RSA+AES+HMAC 校验)给数据加密.

这个有必要做吗?或者有更简单的方案吗?

sagaxu

2025 年 3 月 6 日

明文返回数据不是问题，数据越权是极其严重的问。框架层面统一做一下 aes ，这个好解决，权限就稍稍麻烦一点了。

AlexBob

2025 年 3 月 6 日

@zgsi 我问问可以不.
证书也是在小程序保存这个,感觉还是不安全

coderzhangsan

2025 年 3 月 6 日

同#2 明文是小事数据越权是大事问题分清楚主次然后依次解决

Dewchame

2025 年 3 月 6 日

我们公司之前做的小程序基本上都是 aes 加密然后再上一道 base64

ciyouwu

2025 年 3 月 6 日

有敏感信息的，是一定要加密的，现在不都使用国密么，只要数据加密了，大部分的越权问题也能解决。但是从根本上解决越权还是要做身份验证机制，即用户访问的数据和实际身份做严格划分。。

mmdsun

2025 年 3 月 6 日

这个没必要做。如果是应付检查怎么简单怎么来。数据越权要处理。

用 https 即可防数据泄露。要说什么 F12 查看网络请求是明文的这是防不懂的客户挑刺，根本不是防黑客好吧。

HDF

2025 年 3 月 6 日

“甲方找的第三方扫漏洞,说我们明文返回数据,数据越权”，这个是明文传输还是越权漏洞？，如果是越权的话前端加密是不解决问题的，要鉴权。

cheng6563

2025 年 3 月 6 日

@ciyouwu 这俩没点毛关系，前端加密犹如皇帝新衣。数据越权跟加密也没几分关系。

chairuosen

2025 年 3 月 6 日

明文返回数据有两种情况，1 是明文返回了用户手机号等隐私信息，这个是要做脱敏。2 是说普通不敏感数据传输过程明文，这上了 https 就无所谓，爱抓包抓呗，反正只能抓自己的。

tcper

2025 年 3 月 6 日

很多不太讲究的项目，存在水平越权，扫描工具轻松就给你扫出来了。

wangtian2020

2025 年 3 月 6 日

明文返回数据还要被说有点幽默了，这个甲方估计也不怎么样，随便糊弄糊弄把他第三方过了得了。
base64 一下返回值，再把一个接口的路径映射一下成两个路径，看能不能通过

AlexBob

2025 年 3 月 6 日

@chairuosen 人家就是 f12 ,看到客户列表是明文的,有联系方式,姓名照片.
越权是它用不同 ID 能把数据拉出来,说要显示客户详细数据要二次验证,谁在看不能显示客户联系方式,地址.

chairuosen

2025 年 3 月 6 日

@billbob #18 这是我说的脱敏问题，而不是加密问题，隐私数据就不该返回，而不是加密的返回

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.