前后端分离的项目:登录之后,前端会在浏览器缓存下用户登录信息;每次请求会把用户信息传给后台;而且都是get请求,参数都在链接上面;现在只要把这个请求链接拷贝下来,另开一个页面也是可以请求到数据的;现在觉得这样不安全,别人抓包就可以抓到数据;请问有没有其他更好的方式,在请求接口的时候做是否登录校验?
2 回答
一只斗牛犬
TA贡献1784条经验 获得超2个赞
而且都是get请求,参数都在链接上面;现在只要把这个请求链接拷贝下来,另开一个页面也是可以请求到数据的;可以把权限信息放header里比如token现在觉得这样不安全,别人抓包就可以抓到数据;说实话,无论怎么样都能抓,抓了就能发,要保证链路中的安全可以上https。请问有没有其他更好的方式,在请求接口的时候做是否登录校验?这个接口能不能被匿名访问,或者是否只能被特定用户访问,这是后端本该存在的功能,如果不是公共资源,是必须做登陆验证的,这不是可选项。
添加回答
举报
0/150
提交
取消