1
逆天!干了 3 年的同事用 base64 编码做 token 并且把密码也放了进去
source link: https://www.v2ex.com/t/1034660
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
最近做项目,他搞了用户登陆和状态保持。
当时存的时候他跑过来问我密码要不要用 base64 加密存。
我说这和明文没啥区别把,区别就是比明文多浪费1/3空间。不如直接加盐然后存 md5 。
当我看到 token 的时候,我人直接傻了。
这就是 token YWRtaW58cGFzczEyMzQ1NnwxNzEzNzcxNzg4
我相信只要干过开发的人一眼就能认出来这是什么东西。 我本来以为这已经够逆天了。解码出来的内容才真的让人窒息。
admin|pass123456|1713771788
数据库的 user 表里面的用户名和密码也都是base64 编码存储的。
我本以为这种最基本的常识问题,只可能在一个实习生身上发生,但是这个同事至少在这里干了 3 年了
在他的知识库里 base64 编码=加密
然后只有这种格式的才叫json。(用一对花括号包裹{})
{
"test": 1
}
这种不叫json,更别说其他的值类型的被叫json
[
"abc",
"def"
]
第 1 条附言 · 2 小时 48 分钟前
可能我描述有问题,我的意思是,这个同事只认为花括号的才是 json ,其他的所有都不是。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK