如果我的API允许GET请求,如下所示:
http://myHost:3000/content/info/12
这将返回与由数字12唯一标识的项目有关的信息。假设用户有权查看项目12,但没有什么可以阻止他们使用项目编号(如13,27)进行随机GET请求,11可能返回不属于它们的数据。有没有办法阻止他们通过GET或POST请求访问不属于他们的数据?我知道我可以在每个请求中附带一些与用户相关的独立信息(即用户名),并与数据库交叉检查以查看用户是否确实有权在发送数据之前查看该项目,但这似乎效率低下。这样做的正确方法是什么?