极客观点
项目管理
HarmonyOS
web服务鉴权流程问题。
请求url /update时,请求头里面有uid和token,去做了鉴权。
但是请求post body的参数也有uid,这个uid会做更新用户信息的条件。
现在怕被修改请求参数里的uid,因为这样会用本人的uid token来做了鉴权,然后修改了别人的信息。
这种情况,你们会用请求头的uid来做更新用户信息的条件吗?
java
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
Spring中的两个疑惑?
使用注解的写法是否违背了Spring诞生的初衷?看了很多Spring教程,在讲述为什么要使用Spring的时候,都提出了一个很重要的原因就是,以前的8 回答6.5k 阅读
字节的 trae AI IDE 不支持类似 vscode 的 ssh remote 远程开发怎么办?
尝试一下字节的 trae AI IDE ([链接])安装后导入 vscode 的配置,好像一起把 vscode 的插件也导入了也能看到 vscode 之前配置的 ssh remote 但是连不上看到「输出」如下⬇️ {代码...}2 回答4.3k 阅读✓ 已解决
为什么在 aws 新开 ec2 机器不显示价格?
我选了一个 72core 192 GB 的 ec2 机器,居然都不显示价格,这我怎么敢「启动实例」aws 怎么看价格呢?4 回答4.3k 阅读
爬取知乎热榜数据,跳转链接从哪里爬取?
通过[链接],爬取页面html解析数据,查不到跳转链接怎么搞?2 回答1.7k 阅读✓ 已解决
一般pouchDB和其他数据库结合使用,它所扮演的角色是什么呢?
我们使用pouchDB,一般是还需要和indexedDB或者couchDB,等等的数据库结合使用,请问pouchDB这里就不是数据库是吗?它所扮演的角色是什么呢?4 回答2.5k 阅读✓ 已解决
如何防止接口的 key 泄露?
目前有一个小程序,功能上比较简单,但是需要调用其他平台提供的 AI 相关接口。为了节省服务器费用,想直接在前端请求接口,但是这样就会暴露接口的 key。有没有其他办法可以防止 key 泄露? 或者默许 key 可能的泄露,然后实时监控接口的使用量,这种方式是否可行?7 回答1.8k 阅读
如何使用 python 代码实现迅雷磁力链接资源的下载?
很多磁力链接,只有使用迅雷客户端才能下载有速度但是迅雷客户端没有可操作的 sdk如果我有很多的磁力链接,需要下载,且需要指定每个磁力的下载位置等等操作,怎么实现自动化和批量化?1 回答4.1k 阅读✓ 已解决
1.token中已包含uid,无需在header里再加一次。
2.是否能修改别人的信息,这和鉴权无关,这是业务代码的逻辑。