我有一个基于用户的应用程序,其中每个用户创建具有特定ID的对象。当我为每个用户获取这些对象的列表时,我想确保API仅获取用户自己的对象。我尝试通过几种方式来实现这一点,其中有些不是一个好主意(GET请求中的请求正文),而有些则行不通(在标头中输入猫鼬搜索所使用的ID => CORS不喜欢它) ;将ID放在"data": JSON.stringify({userId})中,则在后端进行控制台日志记录{}时仅显示一个空的console.log(req.data)
我现在在params中添加了userId并通过req.params.id在后端检索了它,但是我觉得那不是很安全。解决这个问题的好方法是什么?