默认
发表评论 2
想开发IM:买成品怕坑?租第3方怕贵?找开源自已撸?尽量别走弯路了... 找站长给点建议
[已回复] 求教RainbowChat-Web的http rest接口如何添加安全访问控制

web版是jsonp--get请求,说有的url拿出来就能获取到数据,也不受cookie限制,怎么做全局访问控制比较合适?



即时通讯网 - 即时通讯开发者社区! 来源: - 即时通讯开发者社区!

推荐方案
评论 2
引用:JackJiang 发表于 2019-07-19 21:54
这个在qq上回复过楼主了,为了方便其他人看到,我把回复内容贴上来。

楼主的意思,其实是问如何控制ajax ...

弱鸡的我,没看懂
这个在qq上回复过楼主了,为了方便其他人看到,我把回复内容贴上来。

楼主的意思,其实是问如何控制ajax接口的调用,必须在已登陆的情下才允许。其实系统里已有预留了相关的控制逻辑,自已可以理解一下后,按照自已的产品或系统的复杂性来决定具体的控制级别和策略。

我的回复是如下。

找到这一段:
[已回复] 求教RainbowChat-Web的http rest接口如何添加安全访问控制_1.png

上面那段代码中调用的登陆认证方法,进去读一下:
[已回复] 求教RainbowChat-Web的http rest接口如何添加安全访问控制_3.png

这个认证方法,可以为合法用户返回一个token:
[已回复] 求教RainbowChat-Web的http rest接口如何添加安全访问控制_4.png

这个token你客户端拿到后,下次在调用其它接口时带过来,不合法,你就拒绝为它服务,就完事。
至于token的生成规则,可以随意(最简单的可以用UUID生成)。稍微严谨一点,可以用JWT,也很简单,不懂可以百度一下JWT是什么,或者看这篇文章:http://www.52im.net/thread-2106-1-1.html
反正先得理解,生成token并返回,下次调用其它接口带过来。带过来的不是这个用户的,或者没有token的,都可以认为是非法。

这跟App产品中的是一样的机制,可以看看APP产品中的服务端开发手册第11节:
[已回复] 求教RainbowChat-Web的http rest接口如何添加安全访问控制_a.png
[已回复] 求教RainbowChat-Web的http rest接口如何添加安全访问控制_2.png
打赏楼主 ×
使用微信打赏! 使用支付宝打赏!

返回顶部