X-LC-Sign的鉴权方式似乎存在BUG
我发现将计算出的md5值与timestamp一起发送到后端校验时,timestamp貌似并没有在后端进行有效性的检验,在调试时我甚至使用去年的时间计算时间戳,和我自己的appkey做MD5签名之后发送post请求创建对象,而这个请求仍然视作有效
所以抓包获得的md5(key+timestamp)值直接就能拿来当appkey使啊(只要appkey不重置理论上永久有效),这个更安全的鉴权方式只是用来防止appkey泄露吗?那抓包的md5值加上timestamp都能当key使了,这根本没有达到保护appkey的目的,这个防线也不攻自溃,我希望这个bug能得到修复,谢谢
