实战:第一章:防止其他人通过用户的url访问用户私人数据
2023-03-07 09:44:09 时间
解决思路:防止其他人通过用户的url访问用户私人数据
思路一:url中放入userId,根据url中的usrId和session中保存的userId 进行匹配判断是否是本人访问, 这样会将userId暴漏在url中,不安全。解决方案:url做成通用的,数据请求需要用户自己主动触发(百度的)(不建议使用)
思路二:访问都需要登陆操作,session中放入userId, 记录中放入userId,每次访问的时候根据url中记录id 得到数据,根据数据中的userId 和session中的userId 是否匹配判断是否是用户本人访问?但是这样就会导致需要查询数据库之后才可以得知结果,解决方案:redis替数据库做用户验证。
思路三:用户访问订单的请求地址时带一个token,采用token,jwt加时间戳,放到每次请求的header中,拿到token进行校验,判断是否为该用户自己的账户,如果是则进行请求,如果不是则提示,转请求错误的页面。(这个需要前端在用户点击发请求时将token带上)
思路四:后台系统层面做一个授权与鉴权。所以虽然URL一样,但只有登陆授权过的用户才能让他看指定的数据。
思路五:在路由地方增加一个中间件,把需要验证的路由全部走这个中间件。每次用户登录的时候生成一个比较长的hash码(保证每个用户不重复) session 保存这个 hash。每次请求的时候验证这个 hash 就好了。每次登录都不同,不纯在泄漏问题。(和思路三类似,而且还多一个路由中间件)
思路六:拿浏览器的Cookie和缓存中用户id的数据对比
更多内容请见原文,原文转载自:https://blog.csdn.net/weixin_44519496/article/details/120591843
相关文章
- 网络安全监管体系下的合规管理工作简述
- ONLYOFFICE是怎样加密保护你的文件
- Lastpass事件调查:黑客在云存储漏洞中窃取了保险库数据
- 美国国会通过法案禁止政府设备安装 TikTok
- 空间转录组数据分析软件推荐---SpaCET
- 包括美国前总统特朗普,攻击者窃取Twitter 4亿数据并出售
- 剑桥分析丑闻最新进展,Mate花7.25亿美元进行和解
- 新加坡数据保护要求
- 在这场2022京麒网络安全大会,我看到了京东安全的新格局
- FreeBuf 周报 | 马斯克裁员75%后,推特出现全球宕机;攻击者窃取推特 4 亿数据并出售
- 继蔚来数据泄露后,又一老牌车企泄露200GB用户数据
- Aftermath:一款针对macOS的免费开源事件响应框架
- 美国数据保护要求
- 2亿Twitter用户的数据被公开,仅需2美元即可下载
- 2022 年全球数据泄露事件 TOP 100 | FreeBuf 年度盘点
- 法国对苹果公司处以 800 万欧元罚款,后者表示会上诉!
- 【Rust日报】2022-11-30 Dora - 一个 Rust 写的 DHCP 服务
- cypherhound:一个针对BloodHound数据集的终端应用程序
- 【Rust日报】2022-12-07 测量 Rust 中 HashMap 的开销
- 又吃巨额罚单!Meta因违反欧盟数据隐私规定被罚 3.9 亿欧元