Question

Допустим, пользователь вошел в приложение и хочет получить некоторые данные, связанные с его профилем.Приложение выполняет вызов REST со своим идентификатором пользователя для серверной части, которая, в свою очередь, выполняет SQL-запрос (SELECT x FROM y WHERE user_id = '...').

Проблема в том, что если я знаючужой идентификатор пользователя, я могу перехватить вызов REST и вставить в него свой идентификатор, тем самым получая доступ к их данным.

Как можно избежать этой проблемы?

(Этот вопрос очень похож на Как запретить пользователю доступ к данным других пользователей? , но прошло уже 5 лет, поэтому я подумал, что я сделаю еще один шаг)

Vinod kumar G · Answer 1 · 05 июня 2018

Таким образом, в этом сценарии у вас есть шифрование в определенном логарифме для отправки идентификатора пользователя и его расшифровки в приложении-службе REST, прежде чем использовать его в столбце USERID в серверной части.Другим возможным решением является шифрование как значения столбца, так и значения идентификатора пользователя, переданного в URL-адресе REST!

Как запретить доступ к данным других пользователей в базе данных

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как запретить доступ к данным других пользователей в базе данных

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов