自定义认证改改吧

wyf97

不得不说，自定义认证这是我见过的最离谱的设计。
真的，如果不打算自定义认证，可以不做，没必要恶心我们。

1、明明应该是服务端请求，但我们测试发现，填了其他设备的ip和mac后，竟然放行了服务端自己？文档上写的很清楚：“第三方认证服务器验证成功以后，调用“放行接口”放行客户”，明摆着意思是服务端做请求去放行其他的IP，我就好奇了，这块开发语文是体育老师教的吗？所以最后就变成，客户端去请求。
2、客户端也就算了，还不对跨域做处理，请问爱快的开发们是喜欢认证完看到一串JSON吗？
3、客户端请求，还不对关键信息做加密签名，用户名随意篡改，而且不只是自定义认证，爱快全线的认证都他妈可以直接通过请求URL绕过，相当相当离谱。
4、既然IP、MAC填了和不填一样，你弄这两个字段进去干什么？

修改建议：
1、最简单的，直接支持服务端认证，没token就没有盗用风险

2、不想支持也可以，那需要做好允许跨域、用户id签名验证

黑粉

IP、MAC  写成手机号进行签名，认证直接就失败了。

小老弟

楼主好，之前的对接方式主要是用于小程序和APP放行认证，我们会出一个支持网页放行接口的版本，会增加客户端校验，可以实现您这边的需求，同步也会更新帮助文档