gooking
commented
5 years ago 1、后台有填写 appid 和 secret的,你把 B 的域名拿到 A 下使用,用户登录肯定失败,获取不到 token,也就操作不了任何数据; 2、你描述的场景,前提假设是在 A 下登录的 token, 直接拿到了 B 下使用(因为你没清楚缓存),那么相当于是 token 泄露了,有了 token,可以操作用户自己的数据,也没有问题;
所以你说的问题不存在,至于 token 泄露,相当于 WEB 中的 cookie 泄露一样,这个和目前本身的架构没有关系;
你可以尝试:
1、登录支付宝/淘宝,登录成功后,拿到 cookie 信息; 2、使用这个 cookie 信息,在 postMan 或者小程序上,都可以直接操作你自己的支付宝的数据的;
但是这个说明不了什么问题
peak-gf
我发现这么一个奇怪现象: 如果有两个不同商城app, 对应同一个api工厂后台(或者说A商城app,把subDomain串改为B商城后台域名);
我用微信登录,先在其中一个商城A里面走一遍购物流程; 然后用同一微信登录另一个商城APP,发现在订单信息出现在了B里面。
这样感觉有点危险,如A商城串改subDomain为B商城对应的域名,然后来回切换使用,感觉将会有很大问题。 如果都是以EastWord为前端小程序,就可以方便的混用别的商城后台数据,这样操作有太多异常出现。 请问怎么避免这样的情况呢?