这是一个创建于 417 天前的主题,其中的信息可能已经有所发展或是发生改变。
要不是亲眼看到,我不知道这个功能还能这样设计
 |
1
Laobai 2024-05-13 17:31:36 +08:00
改密码登不上,也达到删除的目的了 doge
|
 |
2
aikilan 2024-05-13 17:32:18 +08:00  1
......令人莞尔
|
 |
3
drymonfidelia OP @Laobai 更逆天的是他把新密码硬编码在前端
|
 |
4
janus77 2024-05-13 17:34:48 +08:00
那如果再试一下登录 提示不就变成密码错误而不是“该账户不存在”了
|
 |
5
JIAOSHOUV578 2024-05-13 17:37:27 +08:00
@janus77 现在都提示“错误或不存在”防你猜账号
|
|
6
Laobai 2024-05-13 17:41:25 +08:00
@drymonfidelia 很正常,这个世界就是一个草台班子
|
 |
7
winterpotato 2024-05-13 17:42:43 +08:00
🤣 这不 GDPR 哈哈哈
|
 |
8
ih8es9OIzne0959p 2024-05-13 17:43:19 +08:00 1
牛逼,别人是不是能根据这个密码登录已经注销的账户
|
 |
9
tiiis 2024-05-13 17:45:10 +08:00 1
要是 ID 是自增,然后获取了所有已删除的号
|
 |
10
bxb100 2024-05-13 17:47:18 +08:00 1
另类软删 flag, 我前司也是这么做的
|
|
11
drymonfidelia OP @janus77 不管用户是否存在,登录页面确实像 6 楼说的会提示 用户名或密码错误
但是不用这么麻烦,找回密码就能登录了 |
 |
12
wysnxzm 2024-05-13 17:48:21 +08:00
欲言又止
|
 |
14
Troevil 2024-05-13 18:01:39 +08:00
软删很正常 ,只是做法是错的
|
 |
15
buf1024 2024-05-13 18:03:12 +08:00
你没看错,不是前端的问题,也不是后台的问题,需求就是这样!!!
为什么?因为根据注销情况统计绩效,如果直接删除账户,那么每个月有效用户的统计数据就会变少,直接口绩效工资,所以只能用这种方式。 |
 |
16
nomagick 2024-05-13 18:05:43 +08:00
其实本站也。。。。
|
 |
17
fruitmonster 2024-05-13 18:06:16 +08:00
@buf1024 那不能软删除吗? 比如:“禁用”状态,非要改密码?
|
 |
18
zsj1029 2024-05-13 18:09:49 +08:00
也许是没有删除接口
|
|
19
buf1024 2024-05-13 18:11:46 +08:00
@fruitmonster 理论上能,不过该密码比改禁用状态稍微好点,因为改状态是平台的行为,该密码则是用户的行为。该密码则可以认为是用户自己的操作。
|
|
20
fruitmonster 2024-05-13 18:15:04 +08:00
@buf1024 #19 改密码的话,那现在有个需求是区分“删除用户”和正常用户的数据,怎么区分
|
|
21
fruitmonster 2024-05-13 18:15:39 +08:00
@zsj1029 我第一反应就是改密码接口是现成的,删除没有,懒得写,啊哈哈哈哈
|
 |
22
Vegetable 2024-05-13 18:16:03 +08:00 1
密码暴露的危害都不说,就问问,这系统如何判断用户已经被删除了?通过密码?意味着密码是可识别的?至少是没有 salt 的?
|
 |
23
shadowyue 2024-05-13 18:16:08 +08:00
用状态标识确实才是正常开发的直接,不过大概率这种是为了兼容以前的逻辑,比如上面说的有统计的需求,当时写统计的时候还没状态这个字段这种
|
 |
24
darkengine 2024-05-13 18:17:27 +08:00
最大的问题难道不是把新密码的明文写到前端了么。。。。。。
|
 |
25
leaflxh 2024-05-13 18:20:06 +08:00
这可不是草台班子了,谁会把家里防盗门的备用钥匙放门框上
|
 |
26
shenzye 2024-05-13 18:23:38 +08:00 via Android
偷懒就算了,连随机数都懒得取一个就过分了
|
 |
27
whileFalse 2024-05-13 18:41:59 +08:00 via Android
最牛逼的是前端调一个接口能直接改密码
|
 |
28
xiaozirun 2024-05-13 18:43:30 +08:00
用户重新注册怎么办🤣 系统是用手机号还是邮箱注册的
|
 |
29
hefish 2024-05-13 18:50:37 +08:00
这说不定是人家甲方要求这么设计的,我觉着问题不大。
|
|
30
drymonfidelia OP |
 |
31
Kinnice 2024-05-13 19:24:13 +08:00 via Android
想到一个奇怪的点子,后端判断如果密码是这个就随机一个密码.直接疯狂迷惑
|
|
32
buf1024 2024-05-13 19:25:05 +08:00
@fruitmonster 不用区分,因为没有删除的用户,如果真要有删除功能,等删除功能上线后,再统计。
|
 |
33
ecloud 2024-05-13 19:35:32 +08:00
我记得工信部有个什么规定,必须提供删除账号功能
|
 |
34
forty 2024-05-13 19:39:25 +08:00
删除账号,一般要求相关的内容也要删除的,可以软删除没问题,但该账号的前台数据必须隐藏或者标记。
OP 贴的这种方式,只能防小白登录,但是小白也能看到内容还在啊。 |
 |
35
zhao8681286 2024-05-13 19:52:10 +08:00
@fruitmonster #20 咱不是有固定的密码么
 |
 |
36
opengps 2024-05-13 19:58:42 +08:00
有没有可能,这不是功能设计,只是用不到的功能先不开发
|
 |
37
ashuai 2024-05-13 21:24:21 +08:00
这个接口命名不对,明明是在作 setPassword 的操作,他命名为 changePassword
|
 |
38
Tink PRO 不就一个账号吗,都是浮云
|
 |
39
j8sec 2024-05-14 05:05:56 +08:00
也许他在登录接口判断密码 deletedaccount 开头就报错:Account deleted.
这样就和注销删除账号功能幂等了 |
|
40
fruitmonster 2024-05-14 10:06:32 +08:00
@zhao8681286 我期待这个回答期待了一个下午了,直接检索固定密码就行了,哈哈哈,我管它呢,就是干!😂
|
 |
41
Eliefly 2024-05-14 10:42:56 +08:00
厉害了
|
Select Language