Нужна стратегия для передачи идентификаторов в AJAX для логики бэкэнда

Question

Думаю, это скорее вопрос общего дизайна ... У меня есть Ajax-приложение, которое отображает таблицу с заказами на покупку.Каждый заказ имеет флажок рядом с ним

Идея состоит в том, чтобы проверить некоторые из них, затем нажать кнопку, и запустится функция JavaScript, вытаскивая «проверенные» и передавая их на сервер.

Сейчас самое лучшее, что я могу придумать, это дать каждому флажку атрибут «значение» с идентификационным номером ФАКТИЧЕСКОГО ЗАКАЗА.Поэтому, когда они собраны и переданы контроллеру, я могу просто использовать значения для запроса базы данных о точных заказах.

Но у меня возникает неприятное ощущение, что это небезопасный и не самый эффективный способсделать это.

Так что я хотел бы услышать лучшие идеи.

Заранее спасибо.

Answer 1

Если список заказов может видеть только определенный пользователь, я не вижу ничего плохого в вашем шаблоне.С другой стороны, если кто-то может получить этот идентификатор и сделать запрос с ним (например, удалить заказ), вы всегда можете проверить разрешения на стороне сервера.

Answer 2

безопасно, каким образом это не будет безопасно? имеет ли значение, что клиенты видят эти идентификаторы?

Определенные пользователи не должны иметь возможность передавать какие-либо заказы на покупку на сервер?

Да, я думаю, что мой последний вопрос - ваш ответ.

И о том, что это неэффективно; Есть ли проблемы с производительностью в вашем подходе?