web服务鉴权流程问题。
请求url /update时,请求头里面有uid和token,去做了鉴权。但是请求post body的参数也有uid,这个uid会做更新用户信息的条件。
现在怕被修改请求参数里的uid,因为这样会用本人的uid token来做了鉴权,然后修改了别人的信息。
这种情况,你们会用请求头的uid来做更新用户信息的条件吗?
1.token中已包含uid,无需在header里再加一次。2.是否能修改别人的信息,这和鉴权无关,这是业务代码的逻辑。
2.1m questions
2.1m answers
60 comments
57.0k users