关于BAAS服务的安全问题

wangjb

我最近在研究WEX5，WEX5后台可以使用BAAS服务从数据库获取数据，是UI 层调用BAAS 服务获取数据，问题来了，如果别人都知道了BAAS服务的地址与访问ACTION，那不是都可以访问了，那数据不就不安全了吗？

请问，这里有没有安全措施呀，比如，类似的WEBSERVICE  服务调用，调用服务是，的输入口令，即只有授权用户才可以访问该服务。

郭德成

坐等回答

doudou459

自己把baas 服务的那个查询后台  改一下，在执行查询前先判断一下权限    再执行查询···      
再或者就自己写后台查询吧，也不难     

wangjb

doudou459 发表于 2018-1-31 10:09
自己把baas 服务的那个查询后台  改一下，在执行查询前先判断一下权限    再执行查询···      
再或者 ...

这个是不负责任的回答，毕竟这是个平台，既然已经提供了该服务，就应该完善这个服务。开发者只关注自己的业务就OK了，平台的安全应该由平台来解决。希望起步 在BAAS服务安全访问上有个好的解决办法，期待解决，因为我用这个做的APP  快要上线啦，突然才发现对于BAAS的访问没有权限控制，自己好害怕！！

doudou459

wangjb 发表于 2018-1-31 11:11
这个是不负责任的回答，毕竟这是个平台，既然已经提供了该服务，就应该完善这个服务。开发者只关注自己的 ...

   wex5是定位于  前端的快速开发·····  后端的暂时没有做太多啊    主要功能是前端     
另外你说的   权限控制问题和安全问题的话       你一定要让平台来做的话     那就用bex5    bex5就提供了访问权限设置的   

话说······  难道  你就用wex5 就开发了app  准备上线？     没有后端的人员写后台代码的吗？
你要知道     wex5的baasdata      只是简单的后端，只是数据库的增删改查。并没有做太多优化的。安全问题是一个，另一个并发问题 你考虑过没有呢？
如果你只是想baas有个权限验证的功能      也真的不难啊      

不是有个大神  修改了baas的查询语句     优化了查询速度吗？   我下载了他的代码   
在他的代码上很清晰的呈现了查询执行的过程     
想要在哪一步进行权限验证    直接加就OK了。
（本来我一直想就在大神的那个代码基础上做一个权限验证的模板出来的，但是考虑到，我一般不用baasdata，后期运维太麻烦了，写一个这个模板出来对我自己来说意义不大；并且不同的页面对于权限的验证或者权限验证的方式都会有不一样的要求，比较难实现模板化，就算写一个模板出来，也只是针对我自己思考的某类权限验证的模板，所以也就没写。）
过两天 ，空了   我写个权限验证的baas模板  放到分享里面吧    但是真的意义不大    太局限了   

wangjb

doudou459 发表于 2018-1-31 12:49
wex5是定位于  前端的快速开发·····  后端的暂时没有做太多啊    主要功能是前端     
另外你说 ...

我这个项目是定制的，访问的人不多，不存在并发问题，所以我就用BAAS服务，直接访问数据库了，现在就是项目做完了，才发现有这个安全问题。我就是直接在BAAS里添加ACTION了，前端访问这个ACTION对数据库进行增删改查了，所以说只要知道了这个ACTION  就都能访问了。
大侠，我也是做后台代码的，请您告诉我，如何修改这个BAAS服务，才能对ACTION  进行权限控制呢，跪等，谢谢！

doudou459

wangjb 发表于 2018-2-1 09:39
我这个项目是定制的，访问的人不多，不存在并发问题，所以我就用BAAS服务，直接访问数据库了，现在就是项 ...

你做后台的  那就简单了啊···
你找到  action 指向的java文件      是在baas的commom  里面   平台自带的java文件我这没有了   所以我暂时不是很清楚里面的结构了    我用的是某个大神修改过的     
http://bbs.wex5.com/forum.php?mod=viewthread&tid=95857    他分享的 在这里
  我给你个思路：   你仔细看下  整个查询、保存是怎么执行下来的，然后你想要在哪个环节进行权限验证，那么你就直接写验证的代码，或者你事先写好一个   进行验证权限的类，然后在你需要进行权限验证的环节，直接引用这个类里面的方法就OK啦     
权限验证  其实简单来说  也就是一个数据库的查询操作。
就是在java端  查询你的用户是否登录，登录账号权限是多少。
我一般的做法是，在用户登录的时候，用cooiek或url参数记录用户账号和登录时间戳，然后权限验证的时候就是到用户数据库表中先找到这个账号所在的行，然后获取数据库中这个账号时间戳的列的值，然后比较用户传过来的值是否和数据库中存的值一致，如果一致，则代表了用户是已经登录的。
如果你还想做登录用户的更多权限的验证的话，你就给用户再加一个权限等级的列，在验证的时候 再验证用户的等级就好，如果用户访问的数据需要10的等级，但是他的账号只有8的权限，那么就显示权限不足，不能访问就好。
大体思路就这样了。

wangjb

doudou459 发表于 2018-2-1 09:53
你做后台的  那就简单了啊···
你找到  action 指向的java文件      是在baas的commom  里面   平台自 ...

谢谢，我好好看看

liangyongfei

wangjb 发表于 2018-2-1 10:08
谢谢，我好好看看

baasServer 是简化的server 就相当于是一个sevlet
你可以修改源码
http://docs.wex5.com/debug-baas-platform-in-the-code/
或者配置 filter
http://docs.wex5.com/wex5-server-question-list-2027

如果你对后台要求比较高！就建议别用BaasServer了！可以尝试使用BeX5或者 其他后端框架
http://docs.wex5.com/wex5-server-question-list-2026

noirsang

wangjb 发表于 2018-1-31 11:11
这个是不负责任的回答，毕竟这是个平台，既然已经提供了该服务，就应该完善这个服务。开发者只关注自己的 ...

如果直接使用BAAS不做安全貌似两周就会被黑掉。。。