请教WeX5中baasServer数据请求的安全防范和代码框架成熟方案

liangyongfei

dignity568 发表于 2017-2-10 16:46
梁帅，有没有后台baasServer调用localstorage的API，我没找到

localstorage　是前端ｊｓ调用　的！后台调用不了！
一般请求后端获取用户信息后，可以存储在本地 ，就是存储在localstorage　
具体token怎么用，请上网查下吧！这个标准！

baas 只是封装简单增删改查！复杂逻辑就要考自己写代码实现！

hydrogen

我也发现了楼主所提的问题！ 就是说现在这种情况，baas server必须是完全无保护地暴露出来，app或网页才能正常访问，我试过在tomcat做地址限制，只要做了限制，则只有被允许的IP才能正常访问，其它都报错（HTTP status 403).  其实我不是特别明白为什么是会这样？ 照理应该是baas与前端服务器交互就行了，为什么会客户端要直接跟baas服务去交互呢？ 这样的话，数据安全性完全没办法保证，通过，比如以下的命令：http://x.x.x.x:8080/baas/justep/account/queryAccount, 可以把整张表的内容拿下来。 这种东西谁敢拿来商用啊？希望Justep的技术人员来解答一下，如果说要自已去改baas的代码，weX5所提供的便利性就没有了。

liangyongfei

hydrogen 发表于 2017-4-6 10:45
我也发现了楼主所提的问题！ 就是说现在这种情况，baas server必须是完全无保护地暴露出来，app或网页才能 ...

WeX5 主要是做前端UI 界面快速开发的！后端是需要自己实现的！！尤其是安全性的验证！
你就把BaasServer 当做一个普通的sevlet就行了，只是做了增删改查简单的封装，没有复杂逻辑的判断！  当然后台也可以使用其他实现，不一定非得使用BaasServer

hydrogen

谢谢解答，这几天，我也仔细研究了一下WeX5的架构，WeX5前端还是挺不错的，后端这个bass server真有点美中不足啊....

liangyongfei

hydrogen 发表于 2017-4-12 22:44
谢谢解答，这几天，我也仔细研究了一下WeX5的架构，WeX5前端还是挺不错的，后端这个bass server真有点美中 ...

如果想完全自己写代码实现
可以考虑3.2.1版本的用法
http://docs.wex5.com/wex5-server-question-list-2014/


否则就需要自己修改BaasServer的源码
自己调试看看吧！都开源的
http://docs.wex5.com/debug-baas-platform-in-the-code/