0
承擔訂購應用程序,用戶「奔」將能夠通過發行寧靜的API ..會話安全
列出特定的順序/順序/ 1
現在..這樣做,我已經認證之前「本」(用戶名/密碼認證)並將用戶名作爲cookie發送(使用sha1校驗和簽名)。
每個HTTP請求我收到,告訴我該cookie「趣」通過身份認證,但誰又能從發行
/順序/ 23
其中以便與ID = 23不屬於阻止他到「本」。
所以我想我應該寫一些邏輯,以確保訂單23實際上屬於「本」......是這種情況的最佳做法或模式?
我應該使用一個單獨的「功能主鍵」,而不是一個串行主鍵ID?
呃..我一直在自己研究它。它與特權升級有關,並在[link](http://www.lulu.com/product/download/owasp-ruby-on-rails-security-guide/4489819)中有介紹......但我一直在研究 – Lance
也是a4在owasp前10名單[OWASP](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project) – Lance
或[link](http://stackoverflow.com/questions/6382900/playframework- OWASP-頂-10) – Lance