1
johnnyNg 2019-05-28 16:57:53 +08:00 1
你为什么要放你的密码?如果是公开给大家用的就放个你不在乎的账号、密码,如果是给自己用的就把账号密码写成可输入的
|
3
flyingfz 2019-05-28 17:19:21 +08:00 1
我上次看过一个 代替 aws 的 s3 的一个开源项目, 啥名字我忘记了,其中,有个 接口,是用来给客户端直接上传文件的,这个场景就和你的需求一样 ,
它们的做法是:api 的 secret 等,存放在服务器 , 由一个接口返回前端上传时的 url (一次性),这样前端就不用 api 的 secret 了。 |
4
yaswen OP @flyingfz 我不是很懂啊,大概有点懂了,就是前端项目去这个 url 请求到 secret 之后,就保存在变量里了,而过段时间 url 就失效了,是吧。
感觉好像挺合理的。谢谢,感谢大佬。 |
6
msg7086 2019-05-29 06:37:33 +08:00 1
调用 API 当然会有相关的账号密码。
你在浏览器里直接调用 API,账号密码当然要给浏览器看到。 能给浏览器看到,当然能被人盗走。 当你决定做成静态页面的时候,就已经命中注定别人能看到你的账号密码了。 |