为什么阿里云等的API设计那么复杂啊?
如果是服务端请求,直接拿到一个key请求不就好了吗?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
如果是服务端请求,直接拿到一个key请求不就好了吗?
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
发布评论
评论(3)
要说恶心,还得是微信。论恶心,我只服微信。
因为就算是 HTTPS 请求也很有可能暴露请求,直接在参数里带上 key 的话,暴露请求就暴露 key 了,别人拿到 key 立刻就可以冒充你了。
采用参数签名的方法,就算暴露请求也没事,因为参数一改签名就失效了。这么做,黑客要想冒充你,必须要拿到你的文件权限。黑客工作难度呈指数级增长。
像聚合数据那样搞API,只有一个key,还不能改,其实非常弱智。
保护用户数据安全。之前尝试调用淘宝的接口,发现好多token,好多重定向,一点数据都拿不到,最后走淘宝开放平台的接口拿的数据。