【发布时间】:2021-06-19 19:17:34
【问题描述】:
我有一个包含Company 和Agency 用户的项目。
我在尝试显示他们的数据时遇到了问题。例如:如果他们改变了网络浏览器搜索栏上的值,该机构可以看到其他机构的数据。我想阻止该漏洞,但我不知道该怎么做。
我将第一次这样做,感谢您的任何建议!
【问题讨论】:
-
你能解释更多吗?这个搜索栏叫什么?它应该怎么做?
-
你是指搜索栏的 URL 吗?比如“myapplication.com/companyinfo?id=44”
-
是的,我正在谈论这个。用户可以更改 id 值并可以看到其他用户的值,如何阻止?
-
您可以将其与当前登录的用户进行比较,如果它与当前登录的用户 id 匹配,如果不是,则在 sql server 数据库中为每个公司分配一个 Guid,其称为 uniqueidentifier,然后将 guid 放入这样的网址没有人可以得到其他人的信息
-
最终产品将是例如“myapplication.com/…”,您通过此唯一标识符进行查询以获取公司,我建议在数据库中命名列 ObjectKey
标签: asp.net-core policy asp.net-core-5.0