K值验证的一些问题
最近一个项目,在对接外部API,遇到一个 K值验证的机制,应用场景是一个视频播放场景:
服务端验证用户权限后,发放用户一个TOKEN,然后用户侧请求第三方API,附上这个TOKEN,第三方服务端再向我方服务器验证这个TOKEN,正确就放行但是如何保证这个TOKEN的安全,目前的做法是用户每刷新播放页面,会生成一个一次性的TOKEN,第三方验证后失效,这样就能最大限度确保用户的确是有权限访问的,但也存在一个漏洞:
如果用户拦截 请求第三方API 的请求,把这个TOKEN提取出来,分发到其他的客户端去,那就绕过了限制
基本多家视频供应商的验证方式都是这样的,大家有没有什么好的想法?
实际情景举例:
用户购买了一个课程,在浏览器中打开了课程播放页面,这个页面是加载了一个视频供应商提供的js,然后通过js来加载对应的视频,同时要在js的url上附上参数token给视频供应商进行鉴权,这里的token用户可以通过浏览器查看源代码的方式直接获取,然后分发到其他用户,从而绕过限制
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
https,你比较好的选择!我相信第三方也是使用了https的!那你也使用https吧!https是http加ssl。传输过程全程加密的