首先,描述的不清不楚,应该用什么算法,什么key去签名,有什么安全问题,都没说,ios的代码写的不清不楚。虽然我知道hmac-sha1是什么鬼,但是也不知道应该写哪。然后我去扒你们工单,才提到了不要在客户端签名,用master key,会泄露。然后才看到要用自有服务器去签,或者你们的云引擎去签。然后又要去扒出来,云引擎是怎么个签法,你说烦不烦?
15年6月29日
16年3月30日
还有我想问,如果app被人反编,拿到了云引擎签名的地址,不是照样可以随意请求聊天?
你好,请参考实时通信总览中的权限与签名部分,这部分说得比较清楚:
https://leancloud.cn/docs/realtime_v2.html#%E6%9D%83%E9%99%90%E5%92%8C%E8%AE%A4%E8%AF%8139
我们已经增加了各个 SDK 文档到这里的链接方便你快速找到。
签名的接口背后是需要业务逻辑的,也就是说如果 a 和 b 有权限聊天,那么不管是什么客户端请求都可以获得签名,同样的如果 a 和 b 本身没有权限聊天,不管是什么客户端请求服务器端都应该拒绝。另外在请求签名时,除了必须提交的参数,你还可以提交额外的参数,比如登录的签名,你可以要求客户端提供用户名密码或者 session token 一类的东西帮助验证,才能达到权限判断的目的。
是的,所以我正打算把session token当请求参数,问题是如果不带这个session token,或者a无权和b聊,就不颁发签名吗?客户端收到无签名之后再做相应处理?其实我们说的这些就是我说的可以说清楚的东西,没有了解这样的逻辑,光是了解概念,可能会跟你们的设计意图偏离。
不得不赞同,都说了你们签名这部分很烂了 你们还拿这一部分回复
不需要,只有登录和创建对话、加入对话等环节需要签名
| 主题 | 分类 | 回复 | 浏览 | 活动 |
|---|---|---|---|---|
| 建议:JsDoc 发布到 Dash | 意见反馈 | 1 | 965 | 15-06-19 |
| 数据存储服务的Rest API能否添加对并发更新语意的支持? | 意见反馈 | 0 | 985 | 16-03-9 |
| 这段时间,手机收验证码很慢,有时还会失败 | 意见反馈 | 8 | 4.2K | 15-07-30 |
| 推送Notification中报错 | 意见反馈 | 1 | 913 | 15-07-31 |
| Rest api 能否支持长连接? | 意见反馈 | 5 | 5.6K | 15-12-17 |
