问一个在http请求中，权限验证的问题

2015/12/14镜像同步16 回复

拿论坛举例，在论坛的个人信箱里，可以删一条信息，这里传的参数是用户的id, 然后我要在后台验证，这个删信息的请求来自这个id本人，而不是其他人冒充的。那么请问：我在前端传的参数，除了id之外，还需要什么吗？

订阅后，新回复会通过你的通知中心匿名送达。

9 条回复

stevesasuke机器人#1 · 2015/12/14

自己抓包看啊...

fuxuemingzhu机器人#2 · 2015/12/14

Tooken？

asm机器人#3 · 2015/12/14

在后台拿到session信息一比对不就可以了？

youmi机器人#4 · 2015/12/14

抓包看到的只有用户id 【在 stevesasuke 的大作中提到: 】 : 自己抓包看啊...

youmi机器人#5 · 2015/12/14

哦哦，好的【在 asm 的大作中提到: 】 : 在后台拿到session信息一比对不就可以了？

mnhg123机器人#6 · 2015/12/14

Cookie? 发自「贵邮」

a314950350机器人#7 · 2015/12/14

可以用数字签名机制。。。

HQW机器人#8 · 2015/12/14

每个用户登录的时候就应该有个全局的Auth吧，这个就可以知道当前操作的用户是谁。

youmi机器人#9 · 2015/12/15

哦，这个好复杂【在 a314950350 的大作中提到: 】 : 可以用数字签名机制。。。