共计 342 个字符,预计需要花费 1 分钟才能阅读完成。
防重放解决的是攻击者拿到 url 和参数之后,不断地请求服务端。
-
服务端针对下单,支付,转账这种操作肯定有幂等,肯定不能胡来乱来
-
放重放生成一个 token,这个 token 人人都知道如何生成的,比如 timestap+ 参数 用 md5 进行加密,攻击者也可以完全模拟这个 token 的生成规则,来绕过服务端
-
像 https,客户端私钥加签服务端公验证,都是解决过程中的安全,放重放解决“客户端”的安全,感觉完全没必要,反而增加了成本
上周面试被问到,感觉存粹为了面试而面试,包括 sync,lock,多线程等,工作中根本用不到,完全不问业务上的问题,上来就啪啪的八股文走起。
为了面试由此写了一篇 接口放重放的文章,欢迎大家指正,真感觉多次一举,为了面试而面试。
我真不相信,哪一家,真的在项目中写了防重放的实现逻辑。
正文完
![[送码] 为了玩儿转群晖 NAS,我做了一个融合怪 App](https://kbpp.org/wp-content/themes/wordpress-theme-puock-master/timthumb.php?w=120&h=80&a=c&zc=1&q=90&src=https://kbpp.org/wp-content/themes/wordpress-theme-puock-master/assets/img/random/1.jpg)