查看他人数据接口的安全校验机制

　　通常开放一个可以查看他人数据的接口是比较危险的，但是这方面的需求确实是有的，比如用户分享自己的个人主页，或者用户在某些排行榜里/成为公众人物后，别人可以通过点击用户头像查看他的主页，这时候后端接口要做的事情是，正确识别请求的来源，保证是来自于用户自己的分享、排行榜里的点击等等。

　　一个常见的做法是在后端生成分享链接/排行榜列表时同时返回一个token —— 一个不可逆的摘要串，如 md5(uid + time + secret)，把用户ID + 时间戳 + 密钥通过某种 hash 算法生成一个签名/token，然后前端请求时带上这个 token，由后端来进行验证（首先验证时间戳的有效期，然后验证 token 的正确性）。只要 secret 不泄露、hash 算法足够安全（不可逆、难穷举），那么这个验证机制就是比较安全的。

　　但是这里有一个不太好的点，就是这个 token 和时间绑定在一起了，时间戳过期后 token 验证就会不通过，这时候反映到业务上就是直接报错或者其它柔性方式处理——可以让前端定时刷新token，以保证时间戳不会过期（但这样子定时的频率要控制好，过快会给服务端造成压力）。

　　还有一个点，假如时间戳有效期设置得过长，那么攻击者就可以看到不该给他看的数据，比如一个定时更新的排行榜，可以查看出现在榜单上的用户的个人主页，不在榜单上的用户不能开放主页查看功能——即不能通过直接调用接口获取数据。这时候如果时间戳设置的过长，超过了榜单定时更新的频率，比如榜单10分钟更新一次，而时间戳有效期为20分钟，15分钟后用户A已经掉出榜外，此时其它用户是不能看到用户A的主页的，但是因为 token 还没有过期，后端接口校验通过，此时正常返回用户A的个人主页数据，那么这个行为就是非预期的，就造成了安全漏洞，如果排行榜每次变化都比较大，即每个人都曾上过排行榜，那么就可能让攻击者把所有人的数据都拉取下来，相当于拖库了。

　　此时我想到的一种方案是，首先保持时间戳有效期和排行榜的更新频率一致，然后对于校验不通过的 token，有两种可能，一个是正常的时间戳过期，比如前端没有定时更新或者更新的频率不够快，用户打开排行榜页面放置一段时间，此时 token 就过期了；另一种可能就是恶意攻击，token 是攻击者随机构造的。此时后端接口可以这样做，获取用户此时的排名，如果在排行榜里就正常返回个人主页数据，否则报错，获取排名的性能需要考虑，如果太耗时的话就不能这样做，就要考虑别的方案了。