0

如果我有两条路线:

Route::get('/setup', 'SetupController@index')
Route::post('/setup' 'SetupController@store')

SetupController@index我做一些检查,例如我检查用户是否被认证。但是我检查了更多规则。

我也应该对post路线进行相同的检查吗?

有没有办法有人可以在不先打路线的情况下打那个帖子路线get?(例如在 url 中发布http://domain/setup?password=1234

所以我想我要问的是:

我是否需要将两条路由包装在中间件中并对它们中的每一个进行检查,还是足以检查get路由?

4

2 回答 2

0

是的,您需要将两条路由都包装在中间件中。

有人可以打开任何页面(例如登录)并编辑 html 以制作一个指向/setup并放入他想要的任何内容的表单。

当然,有人需要知道表单的架构才能做到这一点,但这仍然是一种风险。

于 2018-10-05T10:32:29.450 回答
0

正常情况下,需要为不同的url添加相应的中间件,对于get路由,可以使用ReplayAttackMiddleware进行不必要的攻击;而对于 post 路由,我认为你需要为不同的用户添加不同的角色,而 JWT 是一个非常好的身份验证工具。

于 2018-10-05T13:02:08.467 回答