请教WeX5中baasServer数据请求的安全防范和代码框架成熟方案

dignity568

使用WeX5差不多两个月，比起之前用的MUI+Hbuilder确实丰富很多，但是目前遇到一些问题：
一、app前后端安全协议方案推荐WeX5的优点，JS中可以直接写数据库脚本语句，baasData也可以直接绑定mysql的数据库表，这样对于前端开发确实很方便；但是直接访问queryAction就可以访问后台数据，整表的数据就可以通过json的形式读取，比如demo中自带的外卖案例就存在这个问题：
http://localhost:8080/baas/takeoutAdmin/order/queryTakeout_order——随便谁在浏览器中输入以上请求就可以拿到订单信息，这种方式适用于不重要的如常量的数据请求，涉及业务隐私的数据肯定不可取！
我想问的是：如何设计app前后端安全协议？类似session校验（B/S常用）还是自定义协议每次校验秘钥（C/S用或API协议）？有没有案例分享？

二、WeX5前端成熟后端内容太少，对baasServer的后端框架或者代码结构有没有好的建议？
目前关于baasServer的讲解并不多，只是说自定义servlet/action当然可以写自己的业务逻辑。举个例子，如果我要将传统的老项目用wex5实现app前后台，传统项目本身是有个后台的，就会有以下两种思路：
一种思路——如论坛中有提到的J2EE和wex5集成的方式，但是须J2EE适配WeX5的Data格式，改动接口工作量较大；
另一种思路——把传统的后台搬到baasServer，目前的baasServer在后端支持上有没有成熟的方案支持框架扩展？求baasServer的后端框架和代码结构建议。

请各位前辈指点！

半导体

也不知道我理解的对不对  我觉得你的这个问题很奇怪   这个问题不是应该根据你自己的业务逻辑来的吗   

liangyongfei

自定义action
http://docs.wex5.com/baas-customaction/

后台的代码逻辑自己实现！

BaasServer 还可以当做一个标准的sevlet  对其二次封装
http://docs.wex5.com/wex5-server-question-list-2027


有兴趣可以修改平台代码：
http://docs.wex5.com/debug-baas-platform-in-the-code/

dignity568

半导体 发表于 2017-2-9 17:58
也不知道我理解的对不对  我觉得你的这个问题很奇怪   这个问题不是应该根据你自己的业务逻辑来的吗    ...

谢谢您的回复！
通过自定义的action是可以写自己的业务逻辑的，我是想请教一下安全协议的思路，每次请求数据附带用户信息和秘钥串来吗？

另外，我看到baasServer的资料很少，baasServer里面框架结构有没有推荐的方案，是不是也像传统的后台按action、service、dao分层呢？

dignity568

liangyongfei 发表于 2017-2-9 18:02
自定义action
http://docs.wex5.com/baas-customaction/

谢谢您的回复！

我知道在baasserver中用自定义的action实现，但是关于baasServer的讲解并不多，自定义servlet/action是可以写一些校验的策略，但是传统的老项目用wex5实现app的前后台，一般自己是有个后台的，就会有以下两种思路：
一种思路——如论坛中有提交的J2EE和wex5集成的方式，但是须J2EE适配WeX5的Data格式，改动较大；
另一种思路——把传统的后台搬到baasServer，目前的baasServer在后端支持上有没有成熟的方案？轻量而又安全可靠。

liangyongfei

dignity568 发表于 2017-2-9 19:17
谢谢您的回复！

我知道在baasserver中用自定义的action实现，但是关于baasServer的讲解并不多，自定义se ...

baasServer 就是一个sevlet ，只是简单封装了数据交互，增删改查，倒是没有提供权限控制，需要自己写代码来做！

后台使用其他框架的话！需要数据做一层封装
http://docs.wex5.com/wex5-server-question-list-2026

dignity568

liangyongfei 发表于 2017-2-10 09:19
baasServer 就是一个sevlet ，只是简单封装了数据交互，增删改查，倒是没有提供权限控制，需要自己写代 ...

在实际项目中是怎么鉴权的，每次传username和秘钥过去给baasServer判断吗？
localstorage不是全局的吧？

liangyongfei

dignity568 发表于 2017-2-10 15:51
在实际项目中是怎么鉴权的，每次传username和秘钥过去给baasServer判断吗？
localstorage不是全局的吧？ ...

localstorage 就是全局的！是浏览器提供的缓存对象~！
当然不是传username和秘钥过去！可以每次登陆后，生成一个token ，每次请求带上这个token ，表示用户是登录过的！
可以上网搜下！

dignity568

liangyongfei 发表于 2017-2-10 16:10
localstorage 就是全局的！是浏览器提供的缓存对象~！
当然不是传username和秘钥过去！可以每次登陆后， ...

token会不会有风险？微信一般登录后用户持久化了，期间会不会有泄露的风险？
如果是数据库生成的token，网络传输过程中被抓包怎么办？
如果用算法定期变更token，那前端js里面是不是有暴露token算法的风险？

dignity568

liangyongfei 发表于 2017-2-10 16:10
localstorage 就是全局的！是浏览器提供的缓存对象~！
当然不是传username和秘钥过去！可以每次登陆后， ...

梁帅，有没有后台baasServer调用localstorage的API，我没找到