Web服务(使用POST)允许请求者更新用户的详细信息。Web 服务接受要更新的用户的 ID。
我认为将请求的 id 作为参数进行认证是有风险的。有人可以创建帖子请求,并且插入任何用户的 ID 并更新该用户的详细信息。
为了确保无法更新用户详细信息的可接受级别,有哪些选项。这是我的想法:
目前没有安全框架。
- 在传输层用户 SSL 上加密请求
- 仅加密 ID 本身
使用 https 进行安全传输是一个良好的开端。
由于您已经用"spring"标记了您的问题并且没有适当的安全框架,我建议您看看Spring Security,它与Spring很好地集成在一起。