我正在试验RISCV tools,有一件事让我感到很困惑......我想允许(部分)我的用户将图片上传到imgur并且我理解它是如何工作的,但是我想知道删除这些图片的身份验证。
Imgur使用oAuth和令牌来表达电话'客户ID' ...要发布图片,我们会使用以下内容:
var token = '...'; // the per-application token
var imgData = '...'; // base64 encoded image data
$.ajax({
url: 'https://api.imgur.com/3/image',
method: 'POST',
headers: {
Authorization: 'Bearer ' + token,
Accept: 'application/json'
},
data: {
image: imgData,
type: 'base64'
},
success: function(result) {
var id = result.data.id;
window.location = 'https://imgur.com/gallery/' + id;
}
});
(来自Imgur's API的例子)
重点是身份验证令牌Client-ID是每个应用程序的AFAIK ......那么如何通过使用API来阻止任何用户删除其他用户的图像删除?例如。只需在浏览器开发工具中粘贴类似下面的内容并运行它:
var token = '...'; // the per-application token
var imageID = '....'; // some id
$.ajax({
url: 'https://api.imgur.com/3/image/' + imageID,
method: 'DELETE',
headers: {
Authorization: 'Bearer ' + token,
Accept: 'application/json'
},
success: function(result) {
// just deleted other user's image??
}
});
是否在专辑级别实施了安全性?这是如何工作的?