假设用户已登录到某个应用程序,并希望检索与其个人资料相关联的某些数据。应用程序使用其用户ID对后端执行REST调用,后端又执行SQL查询(SELECT x FROM y WHERE user_id ='...')。
这里的问题是,如果我知道其他人的用户ID,我可以拦截REST调用并将其ID插入其中,从而访问他们的数据。
如何避免这个问题?
(这个问题与How to prevent user to access other users' data?非常相似,但已经过了5年,所以我想我再给它一次了)
答案 0 :(得分:0)
因此,在这种情况下,您在特定的对数中进行加密,以便在后端的USERID列中使用它之前发送用户ID并在REST服务应用程序上对其进行解密。 另一种可能的解决方案是加密REST url!中传递的列值和用户ID值。