越权问题是否可以通过加签来修复
首先越权问题的正确修复方法是
校验当前用户有没有当前接口权限、校验用户要修改的数据是否属于当前用户
但当系统设计之初没有考虑到权限问题,而后期需要补救时,开发可能会想到通过加一个sign参数来蒙混过关,提高测试难度,骗过测试
sign参数显然不能修复越权问题,因为攻击者可以修改完报文后,再重新签名。难点在于找到签名算法
只有一种情况下可以使用签名来修复越权问题
那就是前后端不分离的情况下,请求jsp或html页面时,后端计算出签名。而非前端计算,这样签名算法就不会泄露,而sign也具有了token性质。
其它情况下,无论水平还是垂直越权,都能修改报文后重签名。