说出用户可以更新自己个人资料的页面:profile_update.php?id=1234567
...(用户的Google ID)。
问题:
如何使用返回的authResult
或me
限制访问权限? (我的意思是对象中的哪个项目会有所帮助,而不是如何将这些项目取出)。
或者我还需要为此构建服务器端$_SESSION
吗?
答案 0 :(得分:1)
您可以使用auth结果在客户端进行一些验证,但您还需要验证您在服务器端获得的请求是否来自您认为来自的人,以防止跨站点请求伪造攻击。因此,您需要一些能够验证更新配置文件的POST来自经过身份验证的用户的内容,而不仅仅是POST数据的格式正确。通常,您的表单将发送特定代码(CSRF令牌),并且用户的cookie中必须存在相同的令牌(或者可以通过$ _SESSION访问PHP中的服务器端会话令牌)。