web服务鉴权流程问题。
请求url /update时,请求头里面有uid和token,去做了鉴权。
但是请求post body的参数也有uid,这个uid会做更新用户信息的条件。
现在怕被修改请求参数里的uid,因为这样会用本人的uid token来做了鉴权,然后修改了别人的信息。
这种情况,你们会用请求头的uid来做更新用户信息的条件吗?
web服务鉴权流程问题。
请求url /update时,请求头里面有uid和token,去做了鉴权。
但是请求post body的参数也有uid,这个uid会做更新用户信息的条件。
现在怕被修改请求参数里的uid,因为这样会用本人的uid token来做了鉴权,然后修改了别人的信息。
这种情况,你们会用请求头的uid来做更新用户信息的条件吗?
15 回答8.4k 阅读
8 回答6.2k 阅读
4 回答4.4k 阅读✓ 已解决
4 回答4k 阅读
3 回答3.6k 阅读✓ 已解决
1 回答2.9k 阅读✓ 已解决
3 回答2.1k 阅读✓ 已解决
1.token中已包含uid,无需在header里再加一次。
2.是否能修改别人的信息,这和鉴权无关,这是业务代码的逻辑。