我的 Wix 站点中的订阅处理可能存在安全问题?
Possible security concerns with subscription handling in my Wix site?
我目前正在使用的 Wix 网站安装了定价计划应用程序,根据这些计划,用户可以通过我正在开发的应用程序访问我在网站上公开的某些 API 功能。由于我无法在 http-functions.js 文件中检索用户对象,因此我不得不创建一个单独的集合来存储有关用户订阅的数据。订购计划后,这很好用,因为我可以连接到 onPlanPurchased 事件并执行我需要的任何逻辑来修改所述集合。然而,取消计划不存在这样的事件,这意味着对集合的任何修改都必须通过从客户端代码调用的后端函数来完成,例如:
cancelPlan(wixUsers.currentUser.id)
.then( (results) => {
if (results === "SUCCESS") {
wixPaidPlans.cancelOrder(orderId)
.then( () => {
wixWindow.openLightbox("PlanCancelled");
})
.catch( (err) => {
wixWindow.openLightbox("PlanCancelFailed");
});
}else {
wixWindow.openLightbox("PlanCancelFailed");
}
})
.catch( (err) => {
wixWindow.openLightbox("PlanCancelFailed");
});
如您所见,这里的问题是,既然这是 运行 在浏览器中,是否有人可以修改它和 运行 只是 wixPaidPlans.cancelOrder() 行没有我的后端功能运行ning?如果是这样,有人可以取消他们的付款,但仍然可以通过我谈到的 API 功能访问我网站提供的内容。我担心这个是否正确?如果是这样,有人对我还能如何解决这个问题有任何指示吗?谢谢
我刚才忘记了这个问题,但想更新它,因为我最终找到了解决方案。
Wix 有几个网络挂钩,可用于指向您网站上的 API/HTTP-function。其中一个 webhooks 是为了当付款计划被取消时,这个事件可以指向 http-functions.js 中的一个函数,相关的逻辑可以在那里完成,确保一切都可以按预期执行,但是该过程也可以由用户启动。
我目前正在使用的 Wix 网站安装了定价计划应用程序,根据这些计划,用户可以通过我正在开发的应用程序访问我在网站上公开的某些 API 功能。由于我无法在 http-functions.js 文件中检索用户对象,因此我不得不创建一个单独的集合来存储有关用户订阅的数据。订购计划后,这很好用,因为我可以连接到 onPlanPurchased 事件并执行我需要的任何逻辑来修改所述集合。然而,取消计划不存在这样的事件,这意味着对集合的任何修改都必须通过从客户端代码调用的后端函数来完成,例如:
cancelPlan(wixUsers.currentUser.id)
.then( (results) => {
if (results === "SUCCESS") {
wixPaidPlans.cancelOrder(orderId)
.then( () => {
wixWindow.openLightbox("PlanCancelled");
})
.catch( (err) => {
wixWindow.openLightbox("PlanCancelFailed");
});
}else {
wixWindow.openLightbox("PlanCancelFailed");
}
})
.catch( (err) => {
wixWindow.openLightbox("PlanCancelFailed");
});
如您所见,这里的问题是,既然这是 运行 在浏览器中,是否有人可以修改它和 运行 只是 wixPaidPlans.cancelOrder() 行没有我的后端功能运行ning?如果是这样,有人可以取消他们的付款,但仍然可以通过我谈到的 API 功能访问我网站提供的内容。我担心这个是否正确?如果是这样,有人对我还能如何解决这个问题有任何指示吗?谢谢
我刚才忘记了这个问题,但想更新它,因为我最终找到了解决方案。
Wix 有几个网络挂钩,可用于指向您网站上的 API/HTTP-function。其中一个 webhooks 是为了当付款计划被取消时,这个事件可以指向 http-functions.js 中的一个函数,相关的逻辑可以在那里完成,确保一切都可以按预期执行,但是该过程也可以由用户启动。