起步软件技术论坛
搜索
 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 5344|回复: 14

[处理中3] 请教WeX5中baasServer数据请求的安全防范和代码框架成熟方案

[复制链接]

16

主题

61

帖子

271

积分

中级会员

Rank: 3Rank: 3

积分
271
QQ
发表于 2017-2-9 17:35:58 | 显示全部楼层 |阅读模式
本帖最后由 dignity568 于 2017-2-9 19:38 编辑

使用WeX5差不多两个月,比起之前用的MUI+Hbuilder确实丰富很多,但是目前遇到一些问题:
一、app前后端安全协议方案推荐WeX5的优点,JS中可以直接写数据库脚本语句,baasData也可以直接绑定mysql的数据库表,这样对于前端开发确实很方便;但是直接访问queryAction就可以访问后台数据,整表的数据就可以通过json的形式读取,比如demo中自带的外卖案例就存在这个问题:
http://localhost:8080/baas/takeoutAdmin/order/queryTakeout_order——随便谁在浏览器中输入以上请求就可以拿到订单信息,这种方式适用于不重要的如常量的数据请求,涉及业务隐私的数据肯定不可取!
我想问的是:如何设计app前后端安全协议?类似session校验(B/S常用)还是自定义协议每次校验秘钥(C/S用或API协议)?有没有案例分享?

二、WeX5前端成熟后端内容太少,对baasServer的后端框架或者代码结构有没有好的建议?
目前关于baasServer的讲解并不多,只是说自定义servlet/action当然可以写自己的业务逻辑。举个例子,如果我要将传统的老项目用wex5实现app前后台,传统项目本身是有个后台的,就会有以下两种思路:
一种思路——如论坛中有提到的J2EE和wex5集成的方式,但是须J2EE适配WeX5的Data格式,改动接口工作量较大;
另一种思路——把传统的后台搬到baasServer,目前的baasServer在后端支持上有没有成熟的方案支持框架扩展?求baasServer的后端框架和代码结构建议。

请各位前辈指点!






1

主题

6163

帖子

2095

积分

金牌会员

Rank: 6Rank: 6

积分
2095
QQ
发表于 2017-2-9 17:58:14 | 显示全部楼层
也不知道我理解的对不对  我觉得你的这个问题很奇怪   这个问题不是应该根据你自己的业务逻辑来的吗   
回复 支持 反对

使用道具 举报

发表于 2017-2-9 18:02:45 | 显示全部楼层
自定义action
http://docs.wex5.com/baas-customaction/

后台的代码逻辑自己实现!

BaasServer 还可以当做一个标准的sevlet  对其二次封装
http://docs.wex5.com/wex5-server-question-list-2027


有兴趣可以修改平台代码:
http://docs.wex5.com/debug-baas-platform-in-the-code/
qq:1912779713
WeX5教程--WeX5下载
回复 支持 反对

使用道具 举报

16

主题

61

帖子

271

积分

中级会员

Rank: 3Rank: 3

积分
271
QQ
 楼主| 发表于 2017-2-9 19:16:38 | 显示全部楼层
半导体 发表于 2017-2-9 17:58
也不知道我理解的对不对  我觉得你的这个问题很奇怪   这个问题不是应该根据你自己的业务逻辑来的吗    ...

谢谢您的回复!
通过自定义的action是可以写自己的业务逻辑的,我是想请教一下安全协议的思路,每次请求数据附带用户信息和秘钥串来吗?

另外,我看到baasServer的资料很少,baasServer里面框架结构有没有推荐的方案,是不是也像传统的后台按action、service、dao分层呢?
回复 支持 反对

使用道具 举报

16

主题

61

帖子

271

积分

中级会员

Rank: 3Rank: 3

积分
271
QQ
 楼主| 发表于 2017-2-9 19:17:57 | 显示全部楼层
liangyongfei 发表于 2017-2-9 18:02
自定义action
http://docs.wex5.com/baas-customaction/

谢谢您的回复!

我知道在baasserver中用自定义的action实现,但是关于baasServer的讲解并不多,自定义servlet/action是可以写一些校验的策略,但是传统的老项目用wex5实现app的前后台,一般自己是有个后台的,就会有以下两种思路:
一种思路——如论坛中有提交的J2EE和wex5集成的方式,但是须J2EE适配WeX5的Data格式,改动较大;
另一种思路——把传统的后台搬到baasServer,目前的baasServer在后端支持上有没有成熟的方案?轻量而又安全可靠。
回复 支持 反对

使用道具 举报

发表于 2017-2-10 09:19:22 | 显示全部楼层
dignity568 发表于 2017-2-9 19:17
谢谢您的回复!

我知道在baasserver中用自定义的action实现,但是关于baasServer的讲解并不多,自定义se ...

baasServer 就是一个sevlet ,只是简单封装了数据交互,增删改查,倒是没有提供权限控制,需要自己写代码来做!

后台使用其他框架的话!需要数据做一层封装
http://docs.wex5.com/wex5-server-question-list-2026
qq:1912779713
WeX5教程--WeX5下载
回复 支持 反对

使用道具 举报

16

主题

61

帖子

271

积分

中级会员

Rank: 3Rank: 3

积分
271
QQ
 楼主| 发表于 2017-2-10 15:51:12 | 显示全部楼层
liangyongfei 发表于 2017-2-10 09:19
baasServer 就是一个sevlet ,只是简单封装了数据交互,增删改查,倒是没有提供权限控制,需要自己写代 ...

在实际项目中是怎么鉴权的,每次传username和秘钥过去给baasServer判断吗?
localstorage不是全局的吧?
回复 支持 反对

使用道具 举报

发表于 2017-2-10 16:10:24 | 显示全部楼层
dignity568 发表于 2017-2-10 15:51
在实际项目中是怎么鉴权的,每次传username和秘钥过去给baasServer判断吗?
localstorage不是全局的吧? ...

localstorage 就是全局的!是浏览器提供的缓存对象~!
当然不是传username和秘钥过去!可以每次登陆后,生成一个token ,每次请求带上这个token ,表示用户是登录过的!
可以上网搜下!
qq:1912779713
WeX5教程--WeX5下载
回复 支持 反对

使用道具 举报

16

主题

61

帖子

271

积分

中级会员

Rank: 3Rank: 3

积分
271
QQ
 楼主| 发表于 2017-2-10 16:43:08 | 显示全部楼层
liangyongfei 发表于 2017-2-10 16:10
localstorage 就是全局的!是浏览器提供的缓存对象~!
当然不是传username和秘钥过去!可以每次登陆后, ...

token会不会有风险?微信一般登录后用户持久化了,期间会不会有泄露的风险?
如果是数据库生成的token,网络传输过程中被抓包怎么办?
如果用算法定期变更token,那前端js里面是不是有暴露token算法的风险?
回复 支持 反对

使用道具 举报

16

主题

61

帖子

271

积分

中级会员

Rank: 3Rank: 3

积分
271
QQ
 楼主| 发表于 2017-2-10 16:46:09 | 显示全部楼层
liangyongfei 发表于 2017-2-10 16:10
localstorage 就是全局的!是浏览器提供的缓存对象~!
当然不是传username和秘钥过去!可以每次登陆后, ...

梁帅,有没有后台baasServer调用localstorage的API,我没找到
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|X3技术论坛|Justep Inc.    

GMT+8, 2025-7-7 07:11 , Processed in 0.057702 second(s), 24 queries .

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表