鍍金池/ 問答/Java  Linux  網(wǎng)絡(luò)安全  HTML/ rest怎么保證請(qǐng)求的內(nèi)容屬于當(dāng)前用戶

rest怎么保證請(qǐng)求的內(nèi)容屬于當(dāng)前用戶

主要問題如下,假設(shè)用戶A有資源resourceA,用戶B有資源resourceB。
準(zhǔn)備設(shè)計(jì)一個(gè)刪除功能,如下接口
/del/resourceId
用戶A就是/del/resourceA,用戶B就是/del/resourceB
怎么才能保證用戶A執(zhí)行/del/resourceB會(huì)報(bào)錯(cuò),不會(huì)成功執(zhí)行?
目前的想法是用戶A在執(zhí)行的時(shí)候通過cookie或者session保存著A的相關(guān)信息,查詢A的resource值是否一致來決定是否執(zhí)行。
由于本人還沒正式做過項(xiàng)目,不知道這樣的想法是否合理,請(qǐng)各位能夠不吝賜教,謝謝。

回答
編輯回答
純妹

不知道樓主用的什么框架,樓主可以考慮一下shiro進(jìn)行一定的安全驗(yàn)證和權(quán)限驗(yàn)證。

2018年4月7日 06:14
編輯回答
故林

你這個(gè)需要就是差不多用戶登錄,一個(gè)用戶登錄之后會(huì)保存改用戶信息的,如果用戶增傷改查是不會(huì)影響到其他用戶

2018年8月9日 07:06
編輯回答
莫小染

基本思路是正確的,如果只用cookie,要注意加密信息,防止用戶簡(jiǎn)單修改cookie信息,由A切換為B。
session安全性能好點(diǎn)。
你這個(gè)屬于權(quán)限驗(yàn)證。cookie或者session存儲(chǔ)當(dāng)前用戶身份。每次請(qǐng)求,服務(wù)端核對(duì)用戶身份和資源之間的對(duì)照關(guān)系,判斷是否非法請(qǐng)求。 用戶和資源之間的對(duì)照關(guān)系,這個(gè)一般存放在服務(wù)端數(shù)據(jù)庫(kù),保證了信息安全。

2018年8月19日 13:35
編輯回答
念初

如果是MVC類型的工程,可以使用Cookie、Session,如果是RESTful API則不能(接口是無狀態(tài)的,不可能使用Cookie、Session來記錄狀態(tài)的),通常使用OAuth2、OpenIdJWT等方案實(shí)現(xiàn)。

2018年4月1日 07:25