0

我在 Extjs 中有一个表单,它通过 POST 向我的控制器提交数据。提交数据时,用户在我的控制器的构造函数中进行了身份验证。但是我如何确保用户正在提交他被允许更改的数据。例子...

蒂姆是用户。Tim 将编辑他的“组描述”。在表单中,我将拥有他的 groupid 来告诉我的函数要编辑哪个“组”。如果 Tim 决定对他的朋友 Robbert 进行恶作剧并将 groupid 更改为 Robberts group id 并编辑描述会怎样。

我的问题我是否必须选择“groupid”及其权限以及用户身份验证数据并进行比较以验证 Tim 是该组的所有者?我需要创建某种类型的 POST secrect md5 值吗?他们是更简单的方法吗

如果有人将数据从其他服务器发布到我的服务器怎么办?

我很高兴我能上网问一些愚蠢的问题:)谢谢

4

1 回答 1

0

我是否必须选择“groupid”及其权限以及用户经过身份验证的数据并进行比较以验证 Tim 是该组的所有者?

是的,这将是进行授权检查的正常方式。它不是特别繁重。

我需要创建某种类型的 POST secrect md5 值吗?

不是为了授权。当您需要稍后颁发一个授予授权的令牌时,您通常会使用某种带有时间戳的 HMAC。但是这里没有必要,只需检查用户是否有权在他们请求时执行他们请求的操作。

您可能确实需要创建某种类型的 POSTed secret 以防止跨站点请求伪造,但这将是一个不同的问题。它通常不会与授权问题相互作用。

于 2013-09-26T13:30:22.493 回答