H5W3
当前位置:H5W3 > 其他技术问题 > 正文

Http请求鉴权流程问题

web服务鉴权流程问题。

请求url /update时,请求头里面有uid和token,去做了鉴权。
但是请求post body的参数也有uid,这个uid会做更新用户信息的条件。

现在怕被修改请求参数里的uid,因为这样会用本人的uid token来做了鉴权,然后修改了别人的信息。

这种情况,你们会用请求头的uid来做更新用户信息的条件吗?

回答:

1.token中已包含uid,无需在header里再加一次。
2.是否能修改别人的信息,这和鉴权无关,这是业务代码的逻辑。

回答:

一般更新或者获取用户详细信息这类操作不会通过传递uid的方式判断是哪个用户,而是通过token判断或者从session中获取。

本文地址:H5W3 » Http请求鉴权流程问题

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址