AuthenticationClient().registerByEmail(email, password, profile, options)
我看邮箱注册、登录之类的模块,都不需要签名认证,且不是别人知道我的 appid, 就可以一直在我的应用里注册很多账号了?
你好,关于登录问题,即使不用 Authing,自己开发也是一样的,只要抓到包都可以注册。
目前我们支持 CORS 安全域设置好域名之后可以在浏览器中的特定域名下使用,但这个防不住后端和自己写 hosts 文件。
另外在标准 OIDC 协议中,appId 无论如何都是外暴的,微信这类 OAuth2.0 协议 也是一样。
要保护好 appId 的 secret
配置如下所示:
想问问为啥前端和后台的接口里没有做数据签名校验,这样别人拦截到很容易篡改请求
目前考虑到调用复杂度的问题所以没有做,我们会将此需求纳入产研流程中
v3 接口会上线:
“通过签名方式进行通信验证,防⽌数据篡改和重放攻击”
预计 2022.10.24