Http请求鉴权流程问题

web服务鉴权流程问题。

请求url /update时,请求头里面有uid和token,去做了鉴权。
但是请求post body的参数也有uid,这个uid会做更新用户信息的条件。

现在怕被修改请求参数里的uid,因为这样会用本人的uid token来做了鉴权,然后修改了别人的信息。

这种情况,你们会用请求头的uid来做更新用户信息的条件吗?

阅读 2.8k
2 个回答

1.token中已包含uid,无需在header里再加一次。
2.是否能修改别人的信息,这和鉴权无关,这是业务代码的逻辑。

一般更新或者获取用户详细信息这类操作不会通过传递uid的方式判断是哪个用户,而是通过token判断或者从session中获取。

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题