有没有大神知道discuz的cookie的加密机制啊？

专家 · 发表于 2023-4-22 17:13:23

一剑横天发表于 2023-4-19 23:37
我们现在就是解密后然后传给客户端登录了。。。

解密后的数据传给客户端，基本上等同于客户端可以随意篡改，拿这样的数据当凭据登录，你只能指望没有懂技术的人用你们的客户端了，遇上懂的人你这个直接就被破解了

qwexiamen · 发表于 2023-4-24 16:46:57

学习来了

科站网 · 发表于 2023-4-24 16:59:46

不应该是吧cookie给你的后端，然后解密后提供用户信息给你的前端吗

一剑横天 · 发表于 2023-4-25 10:09:56

专家发表于 2023-4-22 17:13
解密后的数据传给客户端，基本上等同于客户端可以随意篡改，拿这样的数据当凭据登录，你只能指望没有懂技 ...

这样吗？我们目前的想法就是，解密后得到用户的ID、会员信息等，判定其是VIP会员即可。你的意思是客户端被破解后，可以随意认定自己的账号和会员了吗

一剑横天 · 发表于 2023-4-25 10:10:18

科站网发表于 2023-4-24 16:59
不应该是吧cookie给你的后端，然后解密后提供用户信息给你的前端吗

目前是这样的，不过楼上有人说这样不安全

ehxz · 发表于 2023-4-25 10:29:01

UCCENTER就是解决这个问题的，可以进去看一下。参照做接口就OK了

科站网 · 发表于 2023-4-25 10:30:50

一剑横天发表于 2023-4-25 10:10
目前是这样的，不过楼上有人说这样不安全

根据你的描述，你是前端解密，那肯定不安全啊，后端解密就没这个问题

[求助] 有没有大神知道discuz的cookie的加密机制啊？