c-shopping issues

不用双token是基于什么考虑的呢，我看前面都是双token的，后面改成单token了

1

liyunfu1998

在.env文件里JWT Token硬编码。 https://github.com/huanghanzhilian/c-shopping/blob/1588741fe7631fd2712280dabce02253aeba5e99/.env#L3 以 http://shop.huanghanlian.com/ 为例，可以任意构造一个合法的JWT。 ![image](https://github.com/huanghanzhilian/c-shopping/assets/29408109/0f211bf0-c91c-49f1-936e-7b664eb9d771) JWT里由userid组成，userid是MongoDB的ObjectID， Object ID可以预测，见 https://book.hacktricks.xyz/v/cn/network-services-pentesting/27017-27018-mongodb#mongo-objectid-yu-ce 。修复建议： - 不使用硬编码的JWT密钥，项目初始化时随机生成

Ovi3

提供mysql版本

mysql版本可能更加利于项目发展

bytepai

.env file explained

can you provide some insight into what each variable inside the .env file is responsible for? and where i can get these keys if i want to run the project...

amrali21

c-shopping
c-shopping copied to clipboard

Metadata

老哥能导一份README里面截图的商品、分类数据吗？

不用双token是基于什么考虑的呢，我看前面都是双token的，后面改成单token了

希望可以支持易支付和码支付

购物车里不存在东西时应显示0

JWT密钥硬编码可能导致任意用户登录

提供mysql版本

.env file explained

← Metadata

Owner

Metadata

c-shopping c-shopping copied to clipboard

Metadata

老哥能导一份README里面截图的商品、分类数据吗？

不用双token是基于什么考虑的呢，我看前面都是双token的，后面改成单token了

希望可以支持易支付 和 码支付

购物车里不存在东西时应显示0

JWT密钥硬编码可能导致任意用户登录

提供mysql版本

.env file explained

← Metadata

Owner

Metadata

c-shopping
c-shopping copied to clipboard

希望可以支持易支付和码支付