FAQ

谁能看到根公钥？

• 访问AG控制台的人，可以在login配置看到根公钥。

谁能看到根私钥？

• 访问FC控制台的人，可以在环境变量看到根私钥。

如果根密钥泄露了怎么办？

如果根密钥泄露了，按如下步骤应对。

• 修改根密钥，分别获取新的公钥和私钥。
• 修改AG控制台，设置新的根公钥
• 修改FC控制台，设置新的根私钥
• 重置app表里所有app的token,并告诉所有客户端，重新设置令牌，前提是客户端的私钥是可以在程序里设置的，或者是配置文件，或者是配置界面。
• 要求客户端依赖登录的应用，重新登录，以获取新的令牌。

应用令牌或者登录令牌会泄露吗？

会泄露，在现实环境中会有如下情况泄露令牌。

• 如果使用http而不是https服务访问地球号，会被人通过wifi扫描Http包看到包里面的令牌。
• 如果使用http而不是https服务访问地球号，会被人通过手机USB截取收发的HTTP包查看包里面的令牌。
• 如果是浏览器应用，打开浏览器，看localstorage里的内容，也会发现令牌。

如果应用令牌泄露了怎么办？

如果应用令牌泄露了，按如下步骤应对。

• 登录地球号官网，获取自己的备用应用令牌，复制黏贴。
• 把自己使用这个应用令牌的地方，逐渐替换成备用应用令牌，这时候泄露的主令牌仍旧可以工作，但损失已经在挽回中。
• 当把所有产品线的主令牌都替换成备用令牌后，在地球号控制台重置主令牌，主令牌就此失效。所有持有主令牌访问地球号服务的请求一律失败。虽然他们能经过网关公钥验证，但地球号会拒绝服务。

如果登录令牌泄露了怎么办？

如果用户发现自己的登录令牌泄露了，立刻重新登录，旧的令牌会立刻失效，原因是新的登录覆盖了旧的令牌。这时候不管谁窃取了您的登录令牌，它都永久失效了。这也是地球号安全机制中最后一环：用户自己的用户名和密码。

大量废弃的令牌会对地球号产生什么恶意遗留。

因为废弃，因为登录，民间会留存大量的令牌，尤其是年限长的应用令牌，恶意持有者可以通过这些令牌轻松越过网关验证，对地球号服务进行DDos攻击。这是个没办法的事情。