不得不说,自定义认证这是我见过的最离谱的设计。
真的,如果不打算自定义认证,可以不做,没必要恶心我们。
1、明明应该是服务端请求,但我们测试发现,填了其他设备的ip和mac后,竟然放行了服务端自己?文档上写的很清楚:“第三方认证服务器验证成功以后,调用“放行接口”放行客户”,明摆着意思是服务端做请求去放行其他的IP,我就好奇了,这块开发语文是体育老师教的吗?所以最后就变成,客户端去请求。
2、客户端也就算了,还不对跨域做处理,请问爱快的开发们是喜欢认证完看到一串JSON吗?
3、客户端请求,还不对关键信息做加密签名,用户名随意篡改,而且不只是自定义认证,爱快全线的认证都他妈可以直接通过请求URL绕过,相当相当离谱。
4、既然IP、MAC填了和不填一样,你弄这两个字段进去干什么?
修改建议:
1、最简单的,直接支持服务端认证,没token就没有盗用风险
2、不想支持也可以,那需要做好允许跨域、用户id签名验证
|