我在Extjs中有一个表单,它通过POST将数据提交给我的控制器。提交数据时,用户在我的控制器的构造函数中进行身份验证。但是,我如何确保用户正在为他允许更改的内容提交数据。实施例...
蒂姆是用户。 蒂姆将编辑他的“小组描述”。在表单中,我将使用他的groupid告诉我的函数要编辑的“组”。如果Tim决定对他的朋友Robbert进行恶作剧并将groupid更改为Robberts组ID并编辑描述,该怎么办?我的问题 我是否必须选择'groupid'及其权限以及用户身份验证数据并进行比较以验证Tim是该组的所有者?我是否需要创建某种类型的POST secrect md5值?他们是一个更容易的方式
如果有人将数据从其他服务器发送到我的服务器怎么办?
我很高兴我有互联网问愚蠢的问题:)谢谢
答案 0 :(得分:0)
我是否必须选择'groupid'及其权限以及用户身份验证数据并进行比较以验证Tim是该群组的所有者?
是的,这是进行授权检查的正常方式。这并不是特别繁重。
我是否需要创建某种类型的POST secrect md5值?
不是出于授权的缘故。当您需要发出一个稍后授予授权的令牌时,您通常会使用某种带时间戳的HMAC。但是这里没有必要,只需检查用户是否有权在他们请求时执行他们请求的操作。
您可能需要创建某种类型的POST秘密,以防止跨站点请求伪造,但这将是一个不同的问题。它通常不会与授权问题相互作用。