boss 说了一个骚操作。。。

这就是个伪动态啊，并没有什么特别的优势，还不如在登录时下发一张路由表靠谱一些。

这不就和前段时间 ThinkPHP 爆出的那个漏洞异曲同工么😂 要搞也必须再搞个白名单

你们 boss 还知道反射啊，厉害了。

不知道大家认为有安全问题 是出于什么考虑呢？ 白名单怎样实现？ 我想到的最多就是一个 鉴权+ token 超时认证？前端很难去基于白名单来验证吧。？这里前端是 浏览器？ 还是 APP ？

耦合了

我觉得是 strategy pattern 的 use case.
但描述太简要, 无法确定.
后端一个 strategy manager 可以根据前端传过来的(不一定是类的 qualified name) token, key 等, 来选择 strategy 进行逻辑计算.

港交所页面上的接口就是，不过更骚的是他们传个类似 sql 的参数

少见多怪。

好像跟做一个 token 没差啊，只是 token 作为方法名。
虽然不直接暴露 api，但 token 的算法不是还在前端嘛？

这种除非搞得更骚，更容易出错，而且一错永封，那可能可以拖慢攻击效率。

有可维护的 graphql 啥的，就算你自己搞，最好完善一点

swagger 了解一下:)

@chengyiqun +1 我的一个产品也是这样类似的方法，DB 里维护一个对应关系表，uri -- 方法名

@Felldeadbird 安全问题应该是保证接口是用户有权限访问的，后端提供一个 url 接口告诉前端哪些方法可以调用（白名单），我的理解。

应用场景不明确，初看可以参考 #66 的方法，用策略模式 + java 注解，反射， 前端传个 id, 后端写个存常量的文件 id=com.google.UserService#method，反射根据 id 查找对应方法。

@areless 直接写 sql， 岂不是真全栈，写一个 rest 就通用了吗