0
我正在致力于restul api,无法找到解决问题的方案。Restful apis的授权
我有一个通过ID获取资源的请求,我已经实现了基本认证。
现在,如果有人更改了获取请求中的Id,他也可以访问其他用户的资源。
如何限制用户只能看到他的资源,我是否必须为每种类型的资源创建一些安全过滤器?
任何链接到最佳实践,以防止这种问题将不胜感激!
A
回答
2
简短的回答是:是的,如果用户实际上被允许访问该资源,则需要开发一些用于检查每个资源的内容。
如果用户不被允许,您将返回一个403 Forbidden HTTP错误。
0
如果用户有访问权限,那么请求应该有一些授权相关字段,作为令牌的访问权限。有了它,你可以验证哪个用户正在请求数据,如果允许,那么你照常继续进行GET。一个过滤器将适合这个。
检查授权这里:https://en.wikipedia.org/wiki/List_of_HTTP_header_fields。
相关问题
- 1. Opendaylight RESTful APIs(RESTCONF)
- 2. MVC RESTful服务授权
- 3. 授权RESTful服务的实用示例?
- 4. RESTful HTTP API中的授权,401 WWW-Authenticate
- 5. Restful身份验证和授权
- 6. 授权角色Spring引导Oauth2〜Restful API
- 7. JQuery授权不适用于RESTful服务
- 8. Restful APIs:只读/只写字段
- 9. 授权授权无效
- 10. 授权代码授权
- 11. 节点js-授权RESTFUL API请求的最佳实践
- 12. SOA和RESTful体系结构中的授权(未验证)
- 13. Node.js中的RESTful API - 通过授权进行筛选
- 14. 什么是授权和构建RESTful后端的正确方式
- 15. RESTful服务中的资源级别授权
- 16. Restful Java - 授予对资源的访问权
- 17. 使用Google OAuth2授权服务器的安全Spring RESTful API
- 18. ASP.Net中的Google Apis v3 - “未经授权的客户端或请求范围”
- 19. 如何在android中为Google apis交换OAuth2令牌的授权码?
- 20. 授予WebDeploy授权
- 21. Restful设计,如何创建授权服务
- 22. 如何为oracle restful web services执行登录认证和授权?
- 23. 如何在RESTful请求中授权用户?
- 24. Java EE模式:授权和RESTful服务实现
- 25. Yii2 - 如何在RESTful API中实现RBAC授权?
- 26. AngularJS + Jersey RESTful后端:身份验证和授权
- 27. 声明式授权 - 抓住“授权::未授权”例外
- 28. cakephp的授权
- 29. Android的 - 授权
- 30. 授权的web.config
你能粘贴你的代码吗? – FRECIA
你如何通过ID获取数据?大概来自某种数据库?通常情况下,您会在存储库/数据访问层中由该用户过滤数据。 –
这不是针对具体的代码..我可以举一个例子 假设用户1:认证自己,并休息api调用getUser/{id}。只允许他访问Id 1和2的用户。但是,如果他将Id更改为3,则可以访问它。 为了避免它,我可以添加一个过滤器或拦截器,首先检查访问,然后做出相应的响应。 我的问题是每种类型的资源,即用户,联系人,地址我必须写这个过滤器? –