我一直在研究一个NodeJs Web应用程序,该应用程序使用APi和针对不同卖方的许多不同品牌的前端。卖家可以通过访问相应的前端列出其产品。但是,我遇到了一个问题,即没有逻辑可以阻止卖方访问其他卖方帐户。 有几种与产品交互的API,因此一个想法是针对卖方ID过滤所有API,以防止错误的卖方访问错误的产品。即,当卖方A列出产品时,将针对产品记录卖方ID。因此,如果卖方B尝试针对卖方A产品访问UpdateProducts API,则其登录ID将与保存的卖方ID不匹配,并且将被拒绝。我认为这会奏效,但检查产品的访问权限听起来很麻烦。有更好的方法吗?
答案 0 :(得分:0)
在访问数据库中的任何数据之前,应检查每个请求是否具有令牌授权。如果令牌有效,则可以从令牌中获取用户 ID 并搜索给定用户 ID 的任何数据。
附言我在 REST API 中使用的这种方法