K值验证的一些问题

发布于 2022-09-04 15:36:59 字数 619 浏览 32 评论 0

图片描述
最近一个项目,在对接外部API,遇到一个 K值验证的机制,应用场景是一个视频播放场景:

服务端验证用户权限后,发放用户一个TOKEN,然后用户侧请求第三方API,附上这个TOKEN,第三方服务端再向我方服务器验证这个TOKEN,正确就放行

但是如何保证这个TOKEN的安全,目前的做法是用户每刷新播放页面,会生成一个一次性的TOKEN,第三方验证后失效,这样就能最大限度确保用户的确是有权限访问的,但也存在一个漏洞:
如果用户拦截 请求第三方API 的请求,把这个TOKEN提取出来,分发到其他的客户端去,那就绕过了限制
基本多家视频供应商的验证方式都是这样的,大家有没有什么好的想法?
实际情景举例:
用户购买了一个课程,在浏览器中打开了课程播放页面,这个页面是加载了一个视频供应商提供的js,然后通过js来加载对应的视频,同时要在js的url上附上参数token给视频供应商进行鉴权,这里的token用户可以通过浏览器查看源代码的方式直接获取,然后分发到其他用户,从而绕过限制

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

节枝 2022-09-11 15:36:59

https,你比较好的选择!我相信第三方也是使用了https的!那你也使用https吧!https是http加ssl。传输过程全程加密的

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文