2020-10-09：假如我能拿到别人的URL,然后篡改数据（金额）发送给系统...

2020-10-09：假如我能拿到别人的URL,然后篡改数据（金额）发送给系统，如何避免这种事情的发生？

福哥答案2020-10-09：#福大大架构师每日一题#

此答案来自知乎：

这种敏感url一般都有安全机制的：

1.ip 白名单，像三方支付，三方充值，这种url一般都是支付银行调用，是特定的ip，设置好ip白名单，除了这些ip调用无效。

2.请求加密，一般先通过 RSA 加密公钥交换对称加密秘钥，之后通过 AES 这种对称加密，加密请求 body。

3.签名，通过特定算法生成特定签名，服务端利用签名验证请求。

4.token，需要先获取token，然后在请求中带上 token 才能调用。

这四种机制比较常见，对于敏感接口，就都带上吧，想破解就很难很难了。

评论