项目中遇到这样一个场景:
1.有个页面需要先输入用户手机号,然后发送短信验证码;
2.输入完短信验证码后,再弹出一个交易密码的弹框;
后台把这两步分别使用2个接口来校验信息,第一个接口传入参数 手机号和短信验证码,校验成功弹出窗口继续输入交易密码,输完后调用接口传人参数 交易密码 校验交易密码,校验成功即可支付了! 哈哈哈,真开心,大功告成?
对于上面的操作流程认真分析一下,有没有不安全的隐患存在呢?下面简单说说我个人看法:
1.第一步校验手机号和短信验证码 肯定是没有疑问,这一步校验目的是保证当前操作人一定是本人(手机丢了这种情况暂时不考虑);
2.第二步校验仅仅传人校验密码,这样就会留下一个隐患,当有人且本人知道了该用户的交易密码直接使用工具(非APP)直接去调用第二个接口,那也肯定能够校验通过,可能有人会说我报文头加session机制防止工具直接调用接口;那就不得不考虑到更牛逼点坏人,他能够破解APP,把APP第一步校验手机号(可以理解为这一步就是用来确定是不是本人操作)注释掉了,那后面就照样可以通过了!或许大家觉得这些情况太极端了,确实我也认为又能够破解APP又还能搞到你交易密码这种人极少。
我的处理方式:
第一种:如果你的手机号和短信验证码 还有交易密码都在同一个页面,那么后台就把这2个接口合并成一个接口来同时校验这三个参数;
第二种:如果手机号,短信验证码 和交易密码不在同一个页面,那么还是使用两个接口去校验,但是第二个接口还必须将手机号 短信验证码还有交易密码都传入了一起校验。
这样用两个接口校验的好处:先校验短信验证码了就可以避免用户在短信验证码页面输错了,自己还没发现,继续去输入交易密码,输完了去提交校验时候才发现短信验证码错误了,又用返回到上个页面,这样从用户体验角度考虑并不友好。
建议使用第二种方式,可扩展性更强一些。
前面说那么牛逼的坏蛋可能很少,那为什么还考虑这么多呢,我是想跟大家讲一个后台接口定义原则:外围判定只能用作外围校验使用,不允许当作内部系统判断标准。
什么意思?
可以把后台之外的都当做外围系统,比方说web前端,APP端等,就刚刚这个场景 校验手机号和短信验证码 就是在判断是否是本人,如果按我最开始的处理方式,我第一步校验成功了去第二步操作,仅仅传人交易密码其实就是将前端得到的结果,现在操作用户为本人这个结果直接给后台,后台直接使用了这个结果,没有再去校验一遍,就出问题啦!可能这里理解起来有点乱,不妨去想想当使用优酷APP看视频,你去看VIP资源的时候,本来APP从登录后就知道你是不是VIP,那后台是不是就不用再校验你是不是真的VIP呢,就写这么多吧,慢慢体会!
