防止其他人通過用戶的url訪問用戶私人數(shù)據(jù)

和csrf非常類似

這個方法 可以不用查詢數(shù)據(jù)庫。
在路由地方增加一個中間件，把需要驗證的路由全部走這個中間件。
每次用戶登錄的時候生成一個比較長的hash碼（保證每個用戶不重復） session 保存這個 hash
每次請求的時候驗證這個 hash 就好了。
每次登錄都不同，不純在泄漏問題

1、userid不要放到url中

2、采用token，jwt加時間戳，放到每次請求的header中

url做成通用的，數(shù)據(jù)請求需要用戶自己主動觸發(fā)

一個url就能訪問到別人的私人數(shù)據(jù)，只能說明你做的東西太那個啥了。你看看別人都是咋開發(fā)的，同樣的URL只可以訪問已登錄用戶自己的數(shù)據(jù)。對于保密的數(shù)據(jù)不僅不能讓其他人隨意的通過URL訪問，還得防止爬蟲抓取。河南農(nóng)業(yè)大學的系統(tǒng)就存在類似的漏洞，所以既然是隱私數(shù)據(jù)，那么保密工作不僅僅是一個URL的事兒，服務器配置各方面都有。就像上述河南農(nóng)業(yè)大學的學生私人信息其實就是服務器配置不當，那么后臺系統(tǒng)層面該做的就是授權與鑒權。所以雖然URL一樣，但只有授權過的用戶才能讓他看

可以使用redis替數(shù)據(jù)庫做用戶驗證

我明白你的意思，我的想法是這樣的。
每次用戶用自己的 url 訪問服務器去拿數(shù)據(jù)，服務器會用一種算法算出一個種子，然后發(fā)送給用戶登陸時所用的瀏覽器的緩存中，當然有時間限制。只是這個種子必須要存在數(shù)據(jù)庫中

方法1.使用session，如果seesion直接throw
方法2.生成token，存在redis或者其它緩存機制，同是你也可以存放一些，比如uid,權限,請求限制

既然是私人數(shù)據(jù)，那就不需要在路由中體現(xiàn) userId，登錄之后，一切數(shù)據(jù)依據(jù)SESSION中的userId去查詢，怎么可能會出現(xiàn)訪問到其它用戶的數(shù)據(jù)呢

每個頁面肯定會有請求，請求時候會帶上用戶信息，用戶登錄后才會有用戶信息。所以只要判斷是否可以拿得到用戶信息就知道既可以了，拿不到用戶信息就讓用戶去登陸就好了！

用戶登錄成功后保存相關數(shù)據(jù)到session，從session里取出用戶的ID，每次查詢條件都加上該id。