背景是这样的,前台页面和后台页面不在同一个项目里,前台通过ajax,访问后台获取数据,领导希望获取数据时有权限校验,不能让任何人都能获取到数据。
那么问题来了,如果在ajax请求时加入两个参数,账号和密码,后台可以通过验证账号密码来进行权限控制,但是任何人都可以通过查看网页源代码来看到那个账号密码。
如果是通过现在的登录状态来验证的话,也是不行的。因为这些页面就不用登陆,就更别提用登录状态来验证了。
实际上,无论前台进行什么操作,无论怎么发送请求,只要别人查看网页源代码后,进行同样的操作,就可以获取到数据。
那么,我该如何完成领导给的需求呢?
不登陆?没用户信息,怎么做权限?权限分给电脑IP??? 需求存在问题啊
token验证 了解一下
首先得登录吧,提交数据时加密一下密码啊!然后每个用户可以设置权限字段,不同的值对应不同的权限
密码加密一下可以了,当然还是需要登录最好,用户信息可存下session,后台请求的action给一下权限就行
登录之后返回token,token有默认失效时间,也可以直接设置多长时间失效,通过token发送请求获取访问权限,token失效之后就不能访问了
像1楼说的,前后台分离的项目,权限验证用token最好不过了,jwt可以了解一下
然后仔细看了一下,你最根本在纠结:“实际上,无论前台进行什么操作,无论怎么发送请求,只要别人查看网页源代码后,进行同样的操作,就可以获取到数据。”
这个的话我知道的是可以用短信验证搞定,或者像TX的令牌
登录之后返回token. 查看源代码 怎么可以看到密码?难道你把密码也返回过来了?
如果不用登陆,那么你ajax传后台传什么去验证,用户名密码?再有,你做的这个既然都是 面向所有人的,那么如果非要验证就加密后传到后台就行了,
自己操作的电脑还会给别人看到网页源代码?如果实在担心,操作完了清空验证字段或者关掉窗口