假如在阿里云上有个消息队列,是通过 http endpoint 推送到服务器上的 Rails 程序里的,这种情况下,如果这个接口地址暴露了,那等于可以对 Rails 伪造消息了,感觉不是很安全。
这种情况下,一般如何处理呢?
或者说,是不是不应该用 http 推送的方式?
消息里面带 auth token
@lithium4010 阿里云走的是 http,这个 token 岂不是很容易暴露
rsa 签名/加密了解一下
做个简单的加密验证就可以了
把消息内容算到 auth_token 里面
http://self-issued.info/docs/draft-ietf-jose-json-web-signature.html