※ 本文為 dinos 轉寄自 ptt.cc 更新時間: 2013-04-23 21:38:50
看板 PHP
作者 標題 [請益] 權限的判斷
時間 Mon Apr 15 12:12:09 2013
這個問題一直讓我挺苦惱的
假設狀況是這樣
我有個電子報的功能
要新增需要有新增的權限,修改、刪除、查詢各有權限
權限的判斷基本上不是什麼大問題,問題在於
我的後端怎麼知道現在是什麼階段
例如 當我進入要新增時,我擁有權限則理所當然的可以新增
但如果今天不知什麼原因,有人要編輯他,不管他怎麼進去的
但如果今天不知什麼原因,有人要編輯他,不管他怎麼進去的
我想後端應該是最後一道防線,我該怎麼去判斷現在的階段是什麼
也就是說,我怎麼知道現在要新增或是要修改刪除了
在此先謝過大家
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 122.117.208.2
→ :你後端只有一個程式在接收前端?1F 04/15 12:21
→ :狀態要存在各自的session 不是所有人共用2F 04/15 14:04
→ :是的 接收的地方有一個,存在SESSION我試過3F 04/15 14:38
→ :不過我一直有個盲點,不管是session、cookie還是直接
→ :POST給我的,我都不相信,我只管這個登入者的ID
→ :不過我一直有個盲點,不管是session、cookie還是直接
→ :POST給我的,我都不相信,我只管這個登入者的ID
→ :這不是毫無信賴可言 要怎麼寫程式6F 04/15 14:41
→ :有時會思考,我是不是over design了7F 04/15 14:41
→ :頂多你用sha系列的hash和時間碼、IP、和其他特徵產生一8F 04/15 15:13
→ :個大hash放在form裡面 當然也包含這個form要執行的工作
→ :在後端可以重建來比對,這就夠強了
→ :但是管理介面一般而言已經是限縮使用群了 那麼緊張的設
→ :計到底有沒有必要 有些事應該要由sysadm和硬體來處理的
→ :個大hash放在form裡面 當然也包含這個form要執行的工作
→ :在後端可以重建來比對,這就夠強了
→ :但是管理介面一般而言已經是限縮使用群了 那麼緊張的設
→ :計到底有沒有必要 有些事應該要由sysadm和硬體來處理的
→ :可以學google..他用cookie or session 搭配template 產js13F 04/15 16:05
→ :的密碼程式..再把result 塞回form 理面驗證..
→ :ps:密碼程式的參數會隨狀態改變...
→ :沒辦法執行js..也幾乎是無解了...
→ :最少我沒找到規律..
→ :的密碼程式..再把result 塞回form 理面驗證..
→ :ps:密碼程式的參數會隨狀態改變...
→ :沒辦法執行js..也幾乎是無解了...
→ :最少我沒找到規律..
→ :session是你自己存在server side的 為何不可信?18F 04/16 12:25
→ :即使session id放在cookie,他也是設計成一個不容易被
→ :猜到hijack的長度,大不了你再加ip/ua檢查抵擋hijack
→ :或是自訂session id,再怎麼樣,不需要把擋hijack的成本
→ :弄的太over就是了…除非連tcp防hijack的能力和ssl都不信
→ :即使session id放在cookie,他也是設計成一個不容易被
→ :猜到hijack的長度,大不了你再加ip/ua檢查抵擋hijack
→ :或是自訂session id,再怎麼樣,不需要把擋hijack的成本
→ :弄的太over就是了…除非連tcp防hijack的能力和ssl都不信
→ :抱歉現在才回,感謝各位的回覆,主要還是卡在RBAC23F 04/18 09:58
→ :如何帶入到須求裡,專案告一段落再來分享這次的經驗
→ :如何帶入到須求裡,專案告一段落再來分享這次的經驗
--
※ 看板: dinos 文章推薦值: 0 目前人氣: 0 累積人氣: 95
回列表(←)
分享