好吧,我现在已经实现了会话处理,但我不太确定如何使用它。
我关注的是:
让我们说用户已登录并希望从特定商店获取商品列表。因此,客户将向我发送id
商店。 id
将链接到我在MySQL数据库中使用的商店实体的实际ID。入侵者可以只交换id
因此接收错误的"来自我服务器的数据。
以下是我的问题:为了安全起见,在有效负载内通过HTTPS发送会话ID是否足够?如果我不希望恶意用户能够从服务器中引诱他们不应该看到的信息,那还有什么我必须考虑?我对网络开发比较陌生,但我正在写一些应该成为某种商业软件的东西......总有一天:D但是,即使它是为了学习新东西,它是如何安全地完成的?
答案 0 :(得分:0)
入侵者只能交换该ID,因此从我的服务器接收“错误”数据。
您可能已经在数据库中获得了用户和商店之间的关联。因此,当您收到商店商品的请求时,请检查传递的商店ID,以查看当前会话的用户是否与商店相关联。如果用户无权查看商店,则拒绝该请求。
身份验证只是故事的一半。您需要对用户在您的应用程序中执行的每个操作执行此类授权检查。