Как предотвратить злоупотребление системами маршрутизации?
Я использую систему маршрутизации. Вы можете использовать URL для быстрого обновления и т. Д., Не создавая страницу для него. Я считаю, что это очень эффективно. Хотя, как я могу предотвратить злоупотребление пользователем?
Эта строка обновляет учетную запись пользователя:
http://localhost:8080/Basic/Route/User/update/permissions>1/29
Класс: пользователь
Метод: обновление
Установить разрешения => 1
Где идентификатор 29
Это работает очень хорошо, но любой пользователь мог бы напечатать это в своем URL, если бы он знал, как работает система.
Есть ли способы предотвратить злоупотребления, как этот?
Спасибо!
Решение
Вы должны реализовать аутентификацию пользователя, а затем проверить, вошел ли пользователь в систему и имеет ли он необходимые разрешения. Я не вижу другого способа сделать это проще.
Другие решения
Добавить Токен CSRF и это может быть хорошо. Я также сделал бы это POST запрос вместо GET если это не так
Если вы не защитите свои URL / формы таким образом, пользователи могут быть обмануты в выполнении действий, которые они не намеревались (например, путем посещения ссылки с другого веб-сайта или электронной почты).