作者rocairforce (拾贰)
看板PHP
标题[请益] 权限的判断
时间Mon Apr 15 12:12:09 2013
这个问题一直让我挺苦恼的
假设状况是这样
我有个电子报的功能
要新增需要有新增的权限,修改、删除、查询各有权限
权限的判断基本上不是什麽大问题,问题在於
我的後端怎麽知道现在是什麽阶段
例如 当我进入要新增时,我拥有权限则理所当然的可以新增
但如果今天不知什麽原因,有人要编辑他,不管他怎麽进去的
我想後端应该是最後一道防线,我该怎麽去判断现在的阶段是什麽
也就是说,我怎麽知道现在要新增或是要修改删除了
在此先谢过大家
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 122.117.208.2
1F:→ MOONRAKER:你後端只有一个程式在接收前端? 04/15 12:21
2F:→ buganini:状态要存在各自的session 不是所有人共用 04/15 14:04
3F:→ rocairforce:是的 接收的地方有一个,存在SESSION我试过 04/15 14:38
4F:→ rocairforce:不过我一直有个盲点,不管是session、cookie还是直接 04/15 14:38
5F:→ rocairforce:POST给我的,我都不相信,我只管这个登入者的ID 04/15 14:39
6F:→ MOONRAKER:这不是毫无信赖可言 要怎麽写程式 04/15 14:41
7F:→ rocairforce:有时会思考,我是不是over design了 04/15 14:41
8F:→ MOONRAKER:顶多你用sha系列的hash和时间码、IP、和其他特徵产生一 04/15 15:13
9F:→ MOONRAKER:个大hash放在form里面 当然也包含这个form要执行的工作 04/15 15:14
10F:→ MOONRAKER:在後端可以重建来比对,这就够强了 04/15 15:15
11F:→ MOONRAKER:但是管理介面一般而言已经是限缩使用群了 那麽紧张的设 04/15 15:16
12F:→ MOONRAKER:计到底有没有必要 有些事应该要由sysadm和硬体来处理的 04/15 15:17
13F:→ qwertmn:可以学google..他用cookie or session 搭配template 产js 04/15 16:05
14F:→ qwertmn:的密码程式..再把result 塞回form 理面验证.. 04/15 16:06
15F:→ qwertmn:ps:密码程式的参数会随状态改变... 04/15 16:07
16F:→ qwertmn:没办法执行js..也几乎是无解了... 04/15 16:09
17F:→ qwertmn:最少我没找到规律.. 04/15 16:09
18F:→ buganini:session是你自己存在server side的 为何不可信? 04/16 12:25
19F:→ buganini:即使session id放在cookie,他也是设计成一个不容易被 04/16 12:26
20F:→ buganini:猜到hijack的长度,大不了你再加ip/ua检查抵挡hijack 04/16 12:26
21F:→ buganini:或是自订session id,再怎麽样,不需要把挡hijack的成本 04/16 12:27
22F:→ buganini:弄的太over就是了…除非连tcp防hijack的能力和ssl都不信 04/16 12:29
23F:→ rocairforce:抱歉现在才回,感谢各位的回覆,主要还是卡在RBAC 04/18 09:58
24F:→ rocairforce:如何带入到须求里,专案告一段落再来分享这次的经验 04/18 09:58