由于很多请求参数都是通过URL上传参数,导致用户可以通过修改URL的参数查看到自己无权查看的数据。现已有解决方案,在每个请求上用公钥加密所有参数,然后后台解密,这样就能避免用户私自修改参数访问数据。
问题: 由于当前此类URL很多,暂时没想到可以用公共方法实现的思路(不用细化到每个URL去修改),想请教各位有没有好的办法,麻烦细述思路。谢谢。
由于很多请求参数都是通过URL上传参数,导致用户可以通过修改URL的参数查看到自己无权查看的数据。现已有解决方案,在每个请求上用公钥加密所有参数,然后后台解密,这样就能避免用户私自修改参数访问数据。
问题: 由于当前此类URL很多,暂时没想到可以用公共方法实现的思路(不用细化到每个URL去修改),想请教各位有没有好的办法,麻烦细述思路。谢谢。
这种涉及权限的问题,后台应该有一套自己的权限管理机制。仅靠URL去限制访问,是不安全的。如果低权限的人,拿到了高权限的URL,也是同样可以越权访问数据的。