ThingsBoard社区版3.9.0登录API安全升级解析

在ThingsBoard社区版3.9.0版本中，开发团队对用户登录API进行了一项重要的安全改进。原先通过登录响应返回的additionalInfo字段中包含的敏感信息已被移除，这可能会影响部分依赖这些字段的集成方案。

变更内容

在3.8.1及之前版本中，用户通过REST API登录成功后，响应中的additionalInfo字段会包含以下三个属性：

• userCredentialsEnabled：表示用户凭证是否启用
• lastLoginTs：记录用户最后一次登录时间戳
• failedLoginAttempts：显示用户失败的登录尝试次数

从3.9.0版本开始，这些属性不再通过登录响应返回。这是开发团队基于安全考虑做出的调整，因为这些信息可能被恶意利用来进行账户枚举攻击或其他安全威胁。

替代方案

虽然这些信息不再通过登录API返回，但系统仍然保留了获取这些数据的其他途径：

1. 获取用户基本信息 可以通过GET /api/user/{userId}端点获取用户的基本信息，包括账户状态等

2. 获取用户详细信息 使用GET /api/user/info/{userId}端点可以获取更详细的用户信息，包括最后登录时间等

升级建议

对于正在从3.8.1或更早版本升级到3.9.0的用户，建议：

1. 检查现有系统中是否有功能依赖这些被移除的字段
2. 修改相关代码，改用新的API端点获取所需信息
3. 评估这些变更对系统安全性的影响
4. 更新相关文档和集成说明

安全最佳实践

这一变更体现了ThingsBoard团队对系统安全性的持续关注。在实际应用中，开发者应当：

• 避免在前端直接暴露敏感的用户信息
• 实施最小权限原则，只返回必要的信息
• 定期审查API设计，消除潜在的安全风险
• 对用户认证和授权流程进行严格测试

通过这次变更，ThingsBoard进一步提升了系统的安全性，同时也促使开发者采用更安全的集成方式。虽然这可能会带来短期的适配工作，但从长远来看，这将有助于构建更加安全的物联网应用平台。