PTT數位生活區 / PHP

[請益] 權限的判斷

看板PHP作者 (拾貳)時間12年前 (2013/04/15 12:12), 編輯推噓0(0024)
留言24則, 4人參與, 最新討論串1/1
這個問題一直讓我挺苦惱的 假設狀況是這樣 我有個電子報的功能 要新增需要有新增的權限,修改、刪除、查詢各有權限 權限的判斷基本上不是什麼大問題,問題在於 我的後端怎麼知道現在是什麼階段 例如 當我進入要新增時,我擁有權限則理所當然的可以新增 但如果今天不知什麼原因,有人要編輯他,不管他怎麼進去的 我想後端應該是最後一道防線,我該怎麼去判斷現在的階段是什麼 也就是說,我怎麼知道現在要新增或是要修改刪除了 在此先謝過大家 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 122.117.208.2
04/15 12:21, , 1F
你後端只有一個程式在接收前端?
04/15 12:21, 1F
04/15 14:04, , 2F
狀態要存在各自的session 不是所有人共用
04/15 14:04, 2F
04/15 14:38, , 3F
是的 接收的地方有一個,存在SESSION我試過
04/15 14:38, 3F
04/15 14:38, , 4F
不過我一直有個盲點,不管是session、cookie還是直接
04/15 14:38, 4F
04/15 14:39, , 5F
POST給我的,我都不相信,我只管這個登入者的ID
04/15 14:39, 5F
04/15 14:41, , 6F
這不是毫無信賴可言 要怎麼寫程式
04/15 14:41, 6F
04/15 14:41, , 7F
有時會思考,我是不是over design了
04/15 14:41, 7F
04/15 15:13, , 8F
頂多你用sha系列的hash和時間碼、IP、和其他特徵產生一
04/15 15:13, 8F
04/15 15:14, , 9F
個大hash放在form裡面 當然也包含這個form要執行的工作
04/15 15:14, 9F
04/15 15:15, , 10F
在後端可以重建來比對,這就夠強了
04/15 15:15, 10F
04/15 15:16, , 11F
但是管理介面一般而言已經是限縮使用群了 那麼緊張的設
04/15 15:16, 11F
04/15 15:17, , 12F
計到底有沒有必要 有些事應該要由sysadm和硬體來處理的
04/15 15:17, 12F
04/15 16:05, , 13F
可以學google..他用cookie or session 搭配template 產js
04/15 16:05, 13F
04/15 16:06, , 14F
的密碼程式..再把result 塞回form 理面驗證..
04/15 16:06, 14F
04/15 16:07, , 15F
ps:密碼程式的參數會隨狀態改變...
04/15 16:07, 15F
04/15 16:09, , 16F
沒辦法執行js..也幾乎是無解了...
04/15 16:09, 16F
04/15 16:09, , 17F
最少我沒找到規律..
04/15 16:09, 17F
04/16 12:25, , 18F
session是你自己存在server side的 為何不可信?
04/16 12:25, 18F
04/16 12:26, , 19F
即使session id放在cookie,他也是設計成一個不容易被
04/16 12:26, 19F
04/16 12:26, , 20F
猜到hijack的長度,大不了你再加ip/ua檢查抵擋hijack
04/16 12:26, 20F
04/16 12:27, , 21F
或是自訂session id,再怎麼樣,不需要把擋hijack的成本
04/16 12:27, 21F
04/16 12:29, , 22F
弄的太over就是了…除非連tcp防hijack的能力和ssl都不信
04/16 12:29, 22F
04/18 09:58, , 23F
抱歉現在才回,感謝各位的回覆,主要還是卡在RBAC
04/18 09:58, 23F
04/18 09:58, , 24F
如何帶入到須求裡,專案告一段落再來分享這次的經驗
04/18 09:58, 24F
更多 rocairforce 的文章
文章代碼(AID): #1HQtuS_3 (PHP)
PHP 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 rocairforce 的文章
文章代碼(AID): #1HQtuS_3 (PHP)