REST API安全性：使用ID更新數據庫

Question

我使用NodeJS構建了一個簡單的REST FULL API。

當涉及到HTML代碼，我有：

<form method="post" action="/registry/api"> 

    <input name="id" type="text" value="6" readonly> 
    <input name="name" type="text" value="TEST name"> 
    <input name="description" type="text" value="TEST desc"> 
    <input name="approved" type="checkbox" checked> 

    <input type="submit" value="Update"> 

</form> 

但是，如果我在控制檯去，清除「只讀」，改變從「6」這個ID爲「7」，我的API確實收到了錯誤的ID並更新了數據庫中的壞行。

我如何打呢？

Answer 1

你的API應該實施某種形式的身份驗證和授權層。一種方法是將請求傳遞給令牌（例如，在Authorization標頭中），以便您在後端知道請求此操作的用戶是誰。然後你可以簡單地檢查給定的用戶是否被允許做這樣的動作（給定id）。

你可以看看我這篇文章，其中描述了使用JWT（JSON網絡令牌）這種模式：

https://scotch.io/tutorials/authenticate-a-node-js-api-with-json-web-tokens