防止用户操纵 REST URL

Question

我正试图弄清楚我应该如何防止用户修改 GET 请求的 URL 的漏洞。下面的代码是我的 Express 路由器上的一个路由，它处理进入集合的传入请求，我们假设它是集合“A”，并从该集合返回一些东西。

   router.get("/word/:collection/:language/:amount", function(req, res) {
       getItems(req, res);
   }

现在，如果用户将前端 Javascript 代码中 URL 中的:collection 部分更改为“B”，他将获得集合“B”。我该如何防止这种情况？对于保存用户 ID 的集合之类的情况，我可以根据req.user （我认为？）禁止他们访问这些内容，但在这种情况下，我不能这样做，因为用户确实需要访问这两个集合A和B，我只是想限制他们在错误的时间进入那里（在不同的页面上都需要）。

Answer 1

包含仅某些用户应该有权访问的信息的其余端点需要受到保护。 （最常见的方法是将 API 令牌传递给 API、oAuth 令牌或登录 cookie）。如果 userA 不应该访问 collectionB，则需要在该资源中进行检查，并向浏览器返回某种类型的错误代码。

大多数网站的标准错误是401: Unauthorized。这是一个简单的例子：

router.get("/word/:collection/:language/:amount", function(req, res) {
    if ( !hasAccess(req.params.userToken) )
    {
        return res.send(401, {success: false, message: 'no permission'});
    }
    var collection = req.params.collection,
    var language = req.params.language,
    var amount = req.params.amount;
    return getItems(req, res, collection, language, amount);
}

编辑：重新阅读您的问题后，我现在意识到用户需要在某个时间或另一个时间访问这两个集合。在这种情况下，您仍然需要实现一些服务器端验证。这是另一个例子（带测验/答案）：

router.get("/quiz/finish/:id", function(req, res) {
    //Store that this user has taken this quiz
    return recordQuizAnswers(req.params.userToken, req.params.quizAnswers);
}

router.get("/quiz/answers/:id", function(req, res) {
    //Has this user taken this quiz?
    if ( !hasUserTakenQuiz(req.params.userToken) )
    {
        return res.send(401, {success: false, message: 'Trying to get the answers before taking the quiz? Cheater...'});
    }
    return getQuizAnswers(req.params.id);
}

编辑2：看到您的评论后，我想到了您可以使用的另一种解决方案。使用UUID's 作为 id 而不是自动递增的数字。这将防止用户简单地通过加/减来获得不同的测验。