我们说我有多个用户。他们都有与其帐户相关联的项目。他们可以CRUD这些项目。
阻止用户互相操作项目的最佳方法是什么。
起初我认为反伪造会有所帮助。但事实并非如此,因为当用户查看其控制面板时,他们会获得有效的令牌。所以他们可以打开萤火虫并做一些删除项目的帖子请求。
在写这篇文章的时候,我想我知道应该做些什么。我想如果用户正在删除他的项目,我应该检查服务器。
我是否忘记了任何可以调整彼此物品的事情?
答案 0 :(得分:1)
唯一可以确定的方法是在服务器上检查当前用户是否有权“执行操作”
答案 1 :(得分:0)
您可以使用“角色”机制(此功能随asp.net一起提供)来检查用户是否可以删除其他帐户。