我在使Ajax請求安全時面臨困難。 問題是數據被篡改。我已經閱讀過這個問題,並且建議不要信任來自客戶端的信息。它可以很好地使用提琴手或任何這樣的工具進行更改。我們還需要在服務器端進行驗證。但我的問題是如何驗證。爲Ajax調用實現安全
我們來看一個例子。 假設我在數據庫中有員工信息,並且公開了一個方法GetEmployeeDetailByEmployeeId。在任何員工提出此請求之前,他將使用userId和密碼進行身份驗證,並授權此類型的用戶是否被允許提出此請求。
但是,如果一個員工給某個其他員工的employeeId,他實際上會得到他不應該看到的數據。爲了解決這個問題,我們有兩個解決方案 1.我們應該檢查對數據庫的請求,不管這個人請求的信息是否適合他或他是該人的經理 2.我們應該以某種方式驗證應用層本身我們是否應該拒絕接聽電話。
第一種方法是性能密集型,我必須提出數據庫請求並找到記錄的關聯,這也會增加開發成本。
請提出走哪條路,我們是否有更好的解決方案來解決這類問題。
如果從數據庫讀取更新員工記錄太昂貴,那麼您可能需要更好的數據庫或緩存方案。您需要在後端完成任務,作爲業務規則檢查,並且沒有可讓您在沒有數據的情況下做出決定的靈丹妙藥。請解釋爲什麼從數據庫中讀取是一個問題? – Enno