一、讲个事故 接口安全老生常谈了 过年之前做了过一款飞机大战的H5小游戏,里面无限模式-需要保存用户的积分,因为使用的Body传参,参数是可见的。 为了接口安全我,我和前端约定了传递参数是:用户无限模式的积分+“我们约定的一个数字”+用户id的和,在用Base64加密,请求到服务器我再解密,出用户无限模式的积分;如下: { "integral": "MTExMTM0NzY5NQ ", } 可是过年的时候,运营突然找我说无限模式积分排行榜分数不对: 这就很诡异了,第二名才一万多分,第一名就40多万分!!!! 一开始我以为是我解密有问题,反复看了好几变,可就两三行代码不可能有问题的!!! 没办法我去翻了好久的日志,才发现这个用户把我接口参数给改了。。。。 他把B