我目前使用的是uniCloud阿里云版,有几个问题想要咨询下
-
目前在服务端是uniCloud的时候,虽然使用 x-serverless-sign 对请求体进行了签名,但是对于重放攻击的防护等级很低,甚至请求后的一段时间内复用请求都能通过网关的校验,拿到数据。
所以当在客户端(APP)使用uniCloud.callFunction调用云函数的时候,我能否操作请求头,在请求头中增加一些风控参数的字段?或者操作User-Agent? 然后我自己在云函数中做校验。
-
现在的客户端调用uniCloud请求中总会在params中传递clientInfo字段
{ "clientInfo":{ "PLATFORM":"app-plus", "OS":"ios", "APPID":"__UNI__XXXXXXX", "DEVICEID":"XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX", "CLIENT_SDK_VERSION":"X.X.XX", "LOCALE":"zh-Hans" } }能不能通过把这些字段精简为一个DeviceId的方式传递呢?
-
使用uniCloud.callFunction调用云函数的时候,请求的域名能不能修改为开发者自己的域名?现在的域名是api.bspapp.com.
4.还有一个就是说云函数里mongodb数据库查询速度有点慢,按理来说应该mongodb应该比SQL数据库的速度快,在我本地测试中(部署在云服务器上SQL数据库1c1g 1m),同样的数据,主键也相同,数据量也不大,查询也很简单,云函数mongodb的速度比SQL慢了1倍左右,这里我不太明白,是因为阿里云免费空间的配置低的原因吗?
ctycode (作者)
感谢回复
2022-05-11 14:06
ctycode (作者)
回复 s***@ctycode.io: 这回复的格式怪怪的
2022-05-11 14:06
DCloud_uniCloud_WYQ
回复 s***@ctycode.io: 2的话不算暴露什么信息,客户端信息没有什么机密
2022-05-11 14:12
yayayiyi
我想知道一下 他的请求头签名是根据什么来签名的,别人反编译了前端是否就能破解签名呢?
2022-05-12 21:04
DCloud_uniCloud_WYQ
回复 yayayiyi: 签名只是一层简单的防御,只要客户端能实现的都是可以被模拟的
2022-05-13 14:53
ctycode (作者)
回复 yayayiyi: 建议在后端也做些风控
2022-05-13 17:41