62,046
社区成员
发帖
与我相关
我的任务
分享发短信安全问题
做了个小的留言投诉的web程序,不同类别的留言后台自动提交给不同的领导,现在领导提出来收到留言自动发个短信到手机上,及时提醒他进系统查看。因此,我网上注册个短信接口,看了demo还比较简单,但是发现都是在客户端post数据到指定的url,密码可以加密,但是发短信的目标手机号码都是在js里明文,如何保护好领导的手机号码,不外泄啊?
...全文
请发表友善的回复…
发表回复
风衣笛手 2018-11-28
- 打赏
- 举报
从后台发送短信
一叶无秋 2018-11-28
- 打赏
- 举报
应该在后台发送短信啊,怎么发送短信跑到前台去了?都是POST或者GET提交的后台一样可以做。
ying1234 2018-11-03
- 打赏
- 举报
既然前端能调用发短信接口,后端当然也能调。你要关心的不是这个,而是是否一个留言发一条短信,这样留言多领导得疯了。我想是一天,或者几天内有新留言发个短信提醒一下就行了。这个具体和你领导商量。
不同类别的留言后台自动提交给不同的领导,在留言类别里有联系人的手机号码配置,这个不需要显示在客户端。
不同类别的留言后台自动提交给不同的领导,在留言类别里有联系人的手机号码配置,这个不需要显示在客户端。
吉普赛的歌 2018-10-08
- 打赏
- 举报
完全没有安全问题。
1. 提交数据保存到数据库的表;
2. 保存完毕, 后台将相关信息发送给领导。
把发短信放在后面, 跟前端没什么关系, 不需要考虑那么多。
Logerlink 2018-10-08
- 打赏
- 举报
“客户端post数据到指定的url”
其实服务器端也可以发送post请求的
走这个思路即可
其实服务器端也可以发送post请求的
走这个思路即可
threenewbee 2018-10-05
- 打赏
- 举报
你要防止谁外泄?发短信的供应商最有可能外泄,你既然这个都不怕,还有什么担心的
以专业开发人员为伍 2018-10-05
- 打赏
- 举报
你可以随便想三种层次的设计:
1. 系统中一些业务操作,当业务流程节点完成的时候,系统自动发短信。
2. 系统前端 UI 有一个开放接口,通过输入用户的当前会话 ID(不是登录 ID,而是随机的会话/Session ID)来发短信。
3. 系统前端 UI 有一个开放接口,通过输入目标人物的手机号码来发短信。
你可以看到,这三种层次的设计越往后看垃圾。短信服务商没有什么责任(顶多是它的设计(例如需要验证发送端的IP),例如时候能保证客户资金安全、是否能100%地给出发送数据状态报告——还是遇到资金和成功状态出现问题时就耍流氓——这些方面能保证到位,但是他们提供的 api 协议肯定是没有责任的。
责任在于程序员自己的系统设计素质。
以专业开发人员为伍 2018-10-05
- 打赏
- 举报
js脚本很容易“外泄”各种信息,所以js脚本中你应该放那些可以开放信息。例如加密方法中,公钥可以放在外边,只要是有“公钥、私钥”这种不对称加密的意识和知识,而那些根本不懂非对称加密概念的人则看不懂!
所以就算是服务商给你了 json 格式的 api 接口,告诉你如何为客户端生成一个所谓的“密钥",对于真正的保密措施,你还是要自己来把握。
例如一个客户如果审批了某个工单,那么系统就会给(通过第三方SOA,并且反过来第三方SOA会认证你的系统服务器)特定的人发短信。这本身就不该是什么 UI 程序来发短信,界面层根本就不应该知道你的系统用了什么、用了没用第三方短信。
娃都会打酱油了 2018-10-05
- 打赏
- 举报
后台调用发送短信接口不就行了,这样手机号也不用写在页面上,或者直接拆分成两个服务
以专业开发人员为伍 2018-10-04
- 打赏
- 举报
业务逻辑控制应该在你的服务器,你的服务器跟其它 SOA 服务通讯、其它服务认证你的服务器(而不是什么客户端)。
