app与服务端通信时如何进行消息校验

当用户已经登陆成功后,在进行其他的修改操作时,很多都需要进行信息的校验,来确认用户修改的信息是否是他自己的发布的信息,避免他手动的的修改传入参数,修改非自己的信息。最经我们有个逻辑的漏洞,在app调用服务端的登陆接口登陆成功后,返回给app的信息中包含用户的userid,客户端在回去返回的userid后,会在其他的业务中把该userid传递过去,我们一些业务没有对这个userid进行真实性校验,这就造成了只用在修改登陆接口返回的userid,就可以用任何的人的账号进行操作。对于客户端跟服务端的信息交换,一般都是客户端在调用接口时进行了参数的加密来验证是否是客户端发送的请求,但是这只能解决过滤非自己的客户端发送的伪造请求,对于用户利用自己的客户端发送的恶意请求就无法过滤掉了。那么如果解决这个问题呢,方法是在进行登陆后返回的信息中在添加一个usertoken的返回值,这个值,可以是用用户信息的某几个字段加密生成的。当请求其他的需要userid的业务是必须把该参数也传递过去,在服务端用userid获取用户信息进行加密,验证usertoken如果不通过说明userid被串改,是非法请求。z





转载于:https://www.cnblogs.com/xinxinzhihuo/p/6830526.html

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值