客户端的东西不可信

1. 请求中的用户信息不可信，最好通过登录或第三方登录拿到唯一标识。
   案例：在抽奖项目中，校园网都是同一个ip，请求中的ip可以篡改。
2. 客户端传参不可信，重要的业务参数需要在后台重新计算。
   案例：在购物订单前端传过来的总金额不可直接拿来使用，可以会遭到恶意篡改降低价格，只可用于比较。
3. 对客户端传过来的参数要进行合法性校验，使用spring注解更优雅。
   即使是从服务端查询出来显示的信息，也可能遭遇篡改，通过请求接口的工具把不符合要求的数据传过去。

重要事情说好多遍，不可信，不可信，不可信