我在使我的 Ajax 请求安全方面遇到了困难。问题是数据篡改。我已阅读有关此问题的信息,建议永远不要相信来自客户的信息。使用 fiddler 或任何此类工具可以很好地改变它。我们还需要在服务器端进行验证。但我的问题是如何验证。
让我们看一个例子。假设我在数据库中有员工信息,并且我公开了一种方法 GetEmployeeDetailByEmployeeId。在任何员工提出此请求之前,他将通过 userId 和密码进行身份验证,并授权该类型的用户是否允许提出此请求。
但是,如果一名员工提供其他员工的employeeId,他实际上会得到他不应该看到的数据。为了解决这个问题,我们有两个解决方案 1. 我们应该检查数据库的请求,这个人请求的信息是给他的还是他是那个人的经理 2. 我们应该以某种方式在应用层本身验证我们是否是否应该拒绝来电。
第一种方法是性能密集型的,我必须发出数据库请求并找到记录的关联,这也会增加开发成本。
请建议走哪条路,我们有没有更好的解决方案来解决这类问题。