极客观点
项目管理
HarmonyOS
主要问题如下,假设用户A有资源resourceA,用户B有资源resourceB。
准备设计一个删除功能,如下接口
/del/resourceId
用户A就是/del/resourceA,用户B就是/del/resourceB
怎么才能保证用户A执行/del/resourceB会报错,不会成功执行?
目前的想法是用户A在执行的时候通过cookie或者session保存着A的相关信息,查询A的resource值是否一致来决定是否执行。
由于本人还没正式做过项目,不知道这样的想法是否合理,请各位能够不吝赐教,谢谢。
rest怎么保证请求的内容属于当前用户
新手上路,请多包涵
java阅读 4.1k
如果是MVC类型的工程,可以使用Cookie、Session,如果是RESTful API则不能(接口是无状态的,不可能使用Cookie、Session来记录状态的),通常使用OAuth2、OpenId、JWT等方案实现。
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
小网站有必要将图片放到阿里云OSS存储吗?
网站有涉及到图片的请求,买了阿里云服务,我想将图片放在云服务上的某个目录下,然后通过nginx代理请求图片资源,不知道这么做是否可行?还是说需要将图片放在OSS上存储,但是OSS需要收费?哪个方案更好一些?15 回答8.4k 阅读
http post和put到底有啥区别?
网上搜索一大堆,什么post创建put更新,get查询。put幂等,post非幂等。我咋完全理解不了。我感觉最后到底执行了更新还是查询,这取决于我后台代码怎么写的,如果乐意的话我也可以搞一个接口,getMapping的,我直接在里边更新。还有幂等,这不也是后台代码来控制的吗?下边是摘抄的网上的言论: 幂等性:2 回答11.5k 阅读✓ 已解决
Spring中的两个疑惑?
使用注解的写法是否违背了Spring诞生的初衷?看了很多Spring教程,在讲述为什么要使用Spring的时候,都提出了一个很重要的原因就是,以前的8 回答6.2k 阅读
求java/php大佬帮帮忙?
最近遇到一个需求,需要对接第三方平台,然后对面只给公钥和私钥 ,本身我是用php开发的,第三方的demo 是java 头大完全不知道什么意思,看不懂java写法 有没有大哥帮我写个php的类这是第三方demo提供的加密加签方法以下是完整文件package com.example.guojindemo.utils;1 回答4k 阅读✓ 已解决
Java实例变量默认值赋值时机是什么时候?
实例变量在什么时候会被赋默认值例如int赋0, boolea赋false。 {代码...} 我希望从JVM的角度出发,有相应的证明或者资料证明吗?3 回答2.2k 阅读✓ 已解决
java连redis-sentinel连不上,接下来如何排查?
java连redis-sentinel连不上Java连接redis-sentinel连不上redis-sentinel是在k3s上部署的,使用helm部署的用命令行查看一切正常但是使用java连接报错,详细信息如下环境准备因为java的pod里面是没有redis的,所以下载一个redis-cli,然后拷贝的pod里面,再用命令行连接 {代码...} 安装redis到pod中 {代码...} 直接连接主节点...2 回答3.1k 阅读
请问,低代码中,DSL和DSL2CODE是否有公共语言的实现呢?
低代码中,有DSL DSL2CODE 的概念。现在有2个问题:1、DSL是在高级编程语言(C, Java, Python, JavaScript, TypeScript等)都可以共用一套DSL是吗?2 回答3.8k 阅读
基本思路是正确的,如果只用cookie,要注意加密信息,防止用户简单修改cookie信息,由A切换为B。
session安全性能好点。
你这个属于权限验证。cookie或者session存储当前用户身份。每次请求,服务端核对用户身份和资源之间的对照关系,判断是否非法请求。 用户和资源之间的对照关系,这个一般存放在服务端数据库,保证了信息安全。