Maison > Questions et réponses > le corps du texte
Ne peut être appelé que depuis l'application, pas sur le Web.
Je pense avoir entendu parler de cette chose. J'utilise le framework Spring MVC et je ne sais pas comment implémenter une telle fonction. .
phpcn_u15822017-05-17 10:02:48
On ne peut dire que cela est partiellement interdit.
Définissez un agent utilisateur spécial avant de l'appeler dans l'application, tel que "Ma propre application". Lorsque le programme démarre, vérifiez l'agent utilisateur envoyé par le navigateur. S'il ne s'agit pas de "Ma propre application", une erreur sera signalée. directement.
Mais si vous rencontrez un expert, il peut forger un agent utilisateur à volonté. Tant qu'il intercepte la communication entre votre application et votre serveur, il peut savoir quel type d'agent utilisateur vous utilisez, puis forger un suiveur dans le navigateur. Exactement la même chaîne que vous avez demandée fera l'affaire.
某草草2017-05-17 10:02:48
Obtenez l'heure actuelle, puis ajoutez du sel et cryptez-la, envoyez-la au serveur pour analyse via l'URL ou l'UA, comparez l'heure analysée avec l'heure du serveur et jetez toute heure qui dépasse 1 minute. De cette façon, même si quelqu'un d'autre forge un UA, il ne peut l'utiliser que pendant 1 minute, puis en forger un nouveau.
我想大声告诉你2017-05-17 10:02:48
Si vous utilisez l'interface http, vous pouvez aussi bien ajouter une couche de logique d'authentification
Ou utiliser une interface non-http, afin que le côté Web ne puisse pas l'appeler
伊谢尔伦2017-05-17 10:02:48
La solution ultime est que @markov a dit d'activer l'authentification bidirectionnelle de https côté serveur.
Pour être plus simple, vous pouvez également utiliser l'application pour générer un code de vérification et le transmettre au serveur sous forme d'en-tête http. Le serveur obtiendra le code de vérification, le décryptera et le vérifiera.