类似站长 api 的这种 key 验证方式安全吗？ - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

V2EX 提问指南

这是一个创建于 826 天前的主题，其中的信息可能已经有所发展或是发生改变。

好多接口请求都是用 api?key=xxx&... 这种，通过这个固定的 key 进行接口请求，是比较安全的吗？打算用 java 实现一个这种验证，单纯用逻辑判断就可以吗，还是需要通过权限框架呢。

7 条回复 • 2022-02-09 20:14:25 +08:00

1

mineralsalt

2022-02-09 19:28:46 +08:00

学傻了吧, 拦截器里面 if 判断一下不就行了, 要啥框架

2

zpfhbyx

2022-02-09 19:31:30 +08:00

😂 搞个拦截器不就行了..

3

dtgxx

OP

2022-02-09 19:32:32 +08:00

@mineralsalt @zpfhbyx 我也感觉是这样。。。太简单有点不自信了

4

zpfhbyx

2022-02-09 19:33:56 +08:00

1

@dtgxx 要是不放心找个开源的网关. 我用的是 kong.

5

dtgxx

OP

2022-02-09 19:35:49 +08:00

@zpfhbyx #4 好嘞

6

yuzo555

2022-02-09 19:44:37 +08:00

1

如果是后端 API 就安全，如果 key 内容有机会暴露给客户端那就不安全

7

hgc81538

2022-02-09 20:14:25 +08:00

1

api?key=xxx&... 这種不安全, 因為會出現在 access_log, 把 key 放到 header 比較好

关于 · 帮助文档 · 博客 · API · FAQ · 实用小工具 · 5709 人在线 最高记录 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 40ms · UTC 08:17 · PVG 16:17 · LAX 01:17 · JFK 04:17
Developed with CodeLauncher
♥ Do have faith in what you're doing.