验证用户是否只能查询自己的数据/信息

时间:2017-04-10 12:59:24

标签: database session web-applications login

O /

我正在开发一个较小的应用程序,到目前为止它的表现相当不错。我跟朋友谈过这件事,他突然让我意识到了什么。如何确保用户只能从云中的数据库查询自己的数据?

这是一款非常简单的应用,您可以在其中创建用户并制作个人购物清单。

我想到了几个选项,但我不确定什么是正确的方向 - 或者即使它们中的任何一个是正确的。

  1. 用户名/ ID&密码存储在本地并附加到请求中,并且每次都会对数据库进行检查。
  2. 生成一个令牌,同时保存在DB&本地存储为"活跃的"会话,每次发送请求时,令牌都会附加到请求并进行检查。
  3. ...?

    4. 我很抱歉,如果我把这个主题放错了标签,因为我不是100%确定它们应放在哪里。

1 个答案:

答案 0 :(得分:1)

嗯,从您的描述中可以看出,您正在使用“no backend”应用。如果是这种情况,我建议您查看Firebase,因为它将解决您对身份验证和用户授权的所有疑虑。

如果您想使用更自定义的方法,只需考虑将始终用户名和passowrd附加到请求中,并且因为您使用令牌也是不必要的。

现在,回到这个问题,我将向您提供与使用身份验证令牌并因此需要后端的上下文相关的愿景:

  1. 当您登录用户时,您将生成一个与用户ID
    2. 相关的令牌
  2. 每个用户请求必须包含该令牌
  3. 后端可以从附加标记中提取提交请求的用户的ID
  4. 策略或特定条件将检查将要检索的数据是否必须属于已提取其ID的用户。

    5. 希望这可以帮到你

相关问题
最新问题