[API调用-会员/营销] 关于控制台接口安全性的问题！

控制台应用的client_secret 无法重置，也就导致了一个非常严重的安全问题：IT员工拿到 C_id 和secret后，即使离职，也可以持续调用系统接口，不受管控。里面涉及系统交易、会员信息、资产等数据，风险极大。


虽然系统开通了白名单功能，可以一定程度通过白名单限制许可IP以外的服务器调取数据，但，我们使用的也是SaaS系统来对接有赞，例如：飞书集成平台，而整个飞书集成平台（所有的租户）对外的IP地址是固定的，也就意味着，任何IT员工离职后，只要能使用飞书集成平台（等其他过去在用的SaaS系统）就可以继续调取我们后台的数据，甚至进行改写。风险极大！



建议增加secret重置功能！

参考飞书：

本帖最后由 Crane@ 于 2024-6-28 18:29 编辑

尊敬的有赞用户 您好，我们已收到您的问题，并已安排相关技术支持正在处理中，请耐心等待。建议您留言邮箱地址，问题进度将通过邮件提醒方式触达，减少论坛等待时间。

您好，您这边的需求收到的，我们会反馈给产品评估的哈，您这边需要重置client_secret 吗，如果是的哈，这里跟您确认重置的时间点，最好精确到分钟
因为替换以后所有的调用接口都会失败，需要尽快将代码中的client_secret换成新的。