X-LC-Sign的鉴权方式似乎存在BUG,我在bug反馈板块发的帖子过了一周仍未通过,问题没有解决,因此重发在这里,我发现将计算出的md5值与timestamp一起发送到后端校验时,timestamp貌似并没有在后端进行有效性的检验,在调试时我甚至使用去年的时间计算时间戳,和我自己的appkey做MD5签名之后发送post请求创建对象,而这个请求仍然视作有效,因此抓包获得的md5(key+timestamp)值直接就能拿来当appkey使用,这个鉴权方案对appkey的保护作用失效,我想能不能在后端对timestamp的值进行有效性检验,比如超出当前时间15秒内的误差的不予放行
