首先我做的是一個Spring Boot集成的java專案,這個專案在做的時候會經常用到一個單元測驗工具postman用作自己模塊開發后的一些功能測驗,但是這樣會出現一個問題,無論是GET還是POST請求方式,都會將自己的URL以及自己的頁面上的引數名稱和引數值暴露出來,等到上生產的時候會很容易讓這些資訊暴露在外面。請問有什么方式可以隱藏掉這些請求的引數?或者說增加一個怎樣的驗證來判斷用戶是在通過網頁上的正常點擊登錄,而不是通過一些測驗工具模擬請求的發送?


請大神們指導一下,我需要哪些技術才能夠解決這個問題,給我一個方向或者是幾篇優秀的帖子
uj5u.com熱心網友回復:
首先,隱藏請求引數是不可能的,除非你不用引數。當然引數的形式可以多種多樣,比如 http://xxx/controller/action/引數1/引數2/
至于判斷是否網頁點擊,簡單講一個思路:
進入頁面時,服務端生成一個唯一token,在頁面提交時,帶上token,
服務端驗證是否我簽發的,是就通過,并作廢該token
當然,用戶也可以默認請求token,并帶上它,你可以從ip訪問頻率或用戶訪問頻率進行限制,
沒有什么好方法能防止別人分析和抓取處理就是了。
uj5u.com熱心網友回復:
那么像一些公司是怎么做這方面的安全措施的呢?比如說請求的發送和引數傳遞這方面uj5u.com熱心網友回復:
token , auth 2.0 了解一下.uj5u.com熱心網友回復:
沒啥好辦法,不想請求內容被第三方截獲,那就用https前端所有東西都能被模擬,你的所有動作只是增加模擬者的作業量罷了,而且模擬請求并沒有多大問題,被暴力攻擊的話,你最多也就能做到根據ip拒絕訪問,但前提是你的產品有足夠的價值去讓別人做這個事情
uj5u.com熱心網友回復:
嗯嗯,知道了,對于我目前的這個專案來說基本上是不會存在被人破解訪問的可能性,但是對于我個人的成長方面而言,我希望各位大神同時幫我指一條學習之路,用來提升自己的能力。uj5u.com熱心網友回復:
向大佬們學習uj5u.com熱心網友回復:
uj5u.com熱心網友回復:
請問有什么方式可以隱藏掉這些請求的引數?針對你這個問題你不用擔心,你能看見的都是你的資料,所以不存在泄露,傳輸程序中如果用的是https會對傳輸內容加密,也不擔心被人攔截
或者說增加一個怎樣的驗證來判斷用戶是在通過網頁上的正常點擊登錄,而不是通過一些測驗工具模擬請求的發送?
這個問題你需要后端增加認證,請求程序中帶著token,沒有token的請求不通過
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/186413.html
標籤:Java相關
上一篇:求助:SpringMVC:org.springframework.web.servlet.DispatcherServlet.noHandlerFound
