我正在研究restul api,无法找到解决问题的方法。
我有一个按ID获取资源的请求,我已经实现了基本身份验证。
现在,如果某人更改了get请求中的Id,他也可以访问其他用户的资源。
如何限制用户仅查看其资源,是否必须为每种类型的资源创建一些安全过滤器?
任何有关防止此类问题的最佳做法的链接都将受到赞赏!
答案 0 :(得分:2)
简短的回答是:是的,如果实际允许用户访问该资源,则需要开发一些检查每个资源的内容。
如果不允许用户,则会返回403 Forbidden
HTTP错误。
答案 1 :(得分:0)
如果用户具有访问权限,则该请求应具有一些与授权相关的字段作为令牌访问权限。有了它,您可以验证哪个用户正在请求数据,如果允许,则继续像往常一样继续GET。过滤器非常适合这种情况。
在此处检查授权:https://en.wikipedia.org/wiki/List_of_HTTP_header_fields。