我有一个 WebAPI,我需要发送一个用于标识学生 ID 的唯一 key 。由于我使用的是 ajax 调用,因此我必须将该唯一的学生 ID 发送到服务以获取该学生的记录。最终用户可以通过查看源代码或开发人员工具以某种方式(隐藏的 html 字段或 url post 或 get 参数)看到这一点。 如何防止学生查看我的方案并将 ID 更改为其他学生,从而访问其他人的数据?或者与查看历史记录并找出最后一个学生的 ID 并访问他们的历史记录密切相关?
最佳答案
永远不要相信客户。切勿通过未加密的链接发送敏感数据或发送给不安全(不受信任)的客户端。在您的场景中,您将需要维护一个能够管理其自身安全性的服务器端 session 。仅访问正确的学生详细信息。为该 session 提供一个唯一的、非连续的 key ,对该 key 加盐并将其用作返回给客户端的 session ID。当客户端进行进一步的交互时,使用该 token 来识别 session ,但绝不信任它来验证所有进一步的交互。这是你的 session 的工作。
关于jquery - Web API 安全 - 当您必须通过 http 发送学生证时如何保护学生证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12648714/