我在 Extjs 中有一个表单,它通过 POST 将数据提交到我的控制器。提交数据时,用户在我的控制器的构造函数中进行身份验证。但是我如何确保用户为他被允许更改的内容提交数据。例。。。
蒂姆是用户。蒂姆将编辑他的"小组描述"。在表单中,我将有他的组 ID 来告诉我的函数要编辑哪个"组"。如果蒂姆决定对他的朋友罗伯特恶作剧,并将组 ID 更改为罗伯茨组 ID 并编辑描述怎么办?
我的问题我是否必须选择"groupid"及其权限以及用户身份验证的数据并进行比较以验证 Tim 是组的所有者?我是否需要创建某种类型的 POST secrect md5 值?他们的一种更简单的方法吗
如果有人将数据从其他服务器发布到我的服务器怎么办?
我很高兴我有互联网可以问愚蠢的问题:)谢谢
我是否必须选择"groupid"及其权限以及用户身份验证的数据并进行比较以验证 Tim 是组的所有者?
是的,这将是进行授权检查的正常方式。它不是特别繁重。
我是否需要创建某种类型的 POST secrect md5 值?
不是为了授权。当您需要稍后颁发授予授权的令牌时,您通常会使用某种带时间戳的 HMAC。但这里没有必要这样做,只需检查用户是否有权在他们请求时执行他们请求的操作。
您可能确实需要创建某种类型的 POST 机密,以防止跨站点请求伪造,但这将是一个不同的问题。它通常不会与授权问题相互作用。