[Feature Request] [提案] 为每一位用户使用独立token校验

Question

[Feature Request] [提案] 为每一位用户使用独立token校验

PythonSmall-Q opened this issue 6 months ago · 10 comments

检查项

我已确认了XMOJ增强脚本已为最新版，且最新版未实现这一功能。
我已在 Issues 页面中搜索，确认了这一提案未被提交过。

描述

为增加安全性，设想当每一个用户运行脚本时从服务器请求一个token（服务器端会在D1中存储，用户端在本地GM存储token和请求时间，10/15days or longer的有效时间，超过有效时间自动refresh），每一次向服务器POST时bearer里增加token，服务器校验正确就继续，否则abort并报403

原因

突发奇想的内容

~~念念不忘，必有回响~~

PythonSmall-Q commented 6 months ago

okay

Answer 1 · 2024-05-05T12:00:46.000Z

没用。如果我是attacker, 我只需要问服务器要一个token即可

…

Sent from my iPad

On May 5, 2024, at 19:49, Shan Wenxiao ***@***.***> wrote: 检查项我已确认了XMOJ增强脚本已为最新版，且最新版未实现这一功能。我已在 Issues 页面中搜索，确认了这一提案未被提交过。描述为增加安全性，设想当每一个用户运行脚本时从服务器请求一个token（服务器端会在D1中存储，用户端在本地GM存储token和请求时间，10/15days or longer的有效时间，超过有效时间自动refresh），每一次向服务器POST时bearer里增加token，服务器校验正确就继续，否则abort并报403 原因突发奇想的内容念念不忘，必有回响 — Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you were assigned.

Answer 2 · 2024-05-05T12:05:48.000Z

你达到什么目的？remove backwards compatibility?

…

Sent from my iPad

On May 5, 2024, at 19:49, Shan Wenxiao ***@***.***> wrote: 检查项我已确认了XMOJ增强脚本已为最新版，且最新版未实现这一功能。我已在 Issues 页面中搜索，确认了这一提案未被提交过。描述为增加安全性，设想当每一个用户运行脚本时从服务器请求一个token（服务器端会在D1中存储，用户端在本地GM存储token和请求时间，10/15days or longer的有效时间，超过有效时间自动refresh），每一次向服务器POST时bearer里增加token，服务器校验正确就继续，否则abort并报403 原因突发奇想的内容念念不忘，必有回响 — Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you were assigned.

Answer 3 · 2024-05-05T12:08:21.000Z

显然你做太多语文阅读了（

…

On May 5, 2024, at 19:49, Shan Wenxiao ***@***.***> wrote: 检查项我已确认了XMOJ增强脚本已为最新版，且最新版未实现这一功能。我已在 Issues 页面中搜索，确认了这一提案未被提交过。描述为增加安全性，设想当每一个用户运行脚本时从服务器请求一个token（服务器端会在D1中存储，用户端在本地GM存储token和请求时间，10/15days or longer的有效时间，超过有效时间自动refresh），每一次向服务器POST时bearer里增加token，服务器校验正确就继续，否则abort并报403 原因突发奇想的内容念念不忘，必有回响 — Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you were assigned.

Answer 4 · 2024-05-05T12:08:40.000Z

额有道理

Answer 5 · 2024-05-05T12:09:02.000Z

语文阅读怎么你了（doge

Answer 6 · 2024-05-05T12:09:36.000Z

这么写不会报错吧，zhouyiqing想看ac代码

Answer 7 · 2024-05-05T12:10:11.000Z

但感觉想做一个类似GitHub PAT一样的auth

Answer 8 · 2024-05-05T12:10:27.000Z

~~那GitHub怎么做的照搬就可以了呗~~

Answer 9 · 2024-05-05T12:19:11.000Z

PHPSESSID不行吗?

…

On May 5, 2024, at 20:10, Shan Wenxiao ***@***.***> wrote: 那GitHub怎么做的照搬就可以了呗 — Reply to this email directly, view it on GitHub <#24 (comment)>, or unsubscribe <https://github.com/notifications/unsubscribe-auth/AULMJZNAC6ULLRT2QU53TMTZAYOURAVCNFSM6AAAAABHHU5YNOVHI2DSMVQWIX3LMV43OSLTON2WKQ3PNVWWK3TUHMZDAOJUG44DENJUHA>. You are receiving this because you were assigned.