0

Extjs に、POST 経由でコントローラーにデータを送信するフォームがあります。データが送信されると、コントローラーのコンストラクターでユーザーが認証されます。しかし、ユーザーが変更を許可されているもののデータを送信していることを確認するにはどうすればよいですか。例...

ティムはユーザーです。ティムは自分の「グループの説明」を編集しようとしています。フォームでは、どの「グループ」を編集するかを関数に伝えるために、彼のグループ ID を取得します。Tim が友人の Robbert にいたずらをして、グループ ID を Robbert のグループ ID に変更し、説明を編集することにした場合はどうなるでしょうか。

私の質問 'groupid' とそのアクセス許可をユーザー認証データと共に選択し、比較して、Tim がグループの所有者であることを検証する必要がありますか? ある種の POST secrect md5 値を作成する必要がありますか? 彼らのより簡単な方法はありますか

誰かが他のサーバーから私のサーバーにデータを POST した場合はどうなりますか?

私はばかげた質問をするためにインターネットを持っていることをうれしく思います:)ありがとう

4

1 に答える 1

0

'groupid' とそのアクセス許可をユーザー認証データと共に選択し、比較して、Tim がグループの所有者であることを検証する必要がありますか?

はい、それが許可チェックを行う通常の方法です。特に面倒なことはありません。

ある種の POST secrect md5 値を作成する必要がありますか?

承認のためではありません。後で承認を与えるトークンを発行する必要がある場合は、通常、何らかのタイムスタンプ付きの HMAC を使用します。ただし、ここではその必要はありません。ユーザーが要求した時点で、要求しているアクションを実行する権限があることを確認するだけです。

クロスサイト リクエスト フォージェリから保護するために、何らかのタイプの POSTed シークレットを作成する必要があるかもしれませんが、それは別の問題です。通常、承認の問題とは対話しません。

于 2013-09-26T13:30:22.493 に答える