V2EX › yamedie 的所有回复 › 第 30 页 / 共 52 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 26 27 28 29 30 31 32 33 34 35 ... 52

❮

❯

2019-02-19 11:37:06 +08:00

回复了 runnerlee 创建的主题 › 问与答 › 好几个同事都在用别人的简历当草稿纸

我们吃加班餐时用来垫过桌子防止把桌子搞脏。。。

2019-02-19 11:20:32 +08:00

回复了 Lateautumn 创建的主题 › Python › JWT 服务端怎么理解不需要存储 session

@rayingecho 我明白了, 我司的后端用了 jwt token, 同时在定义"我的订单", "我的账户"这类接口时, 还要求前端传入 userId, 并未在 token 里关联 userId, 造成水平权限漏洞

2019-02-19 11:06:18 +08:00

回复了 Lateautumn 创建的主题 › Python › JWT 服务端怎么理解不需要存储 session

@yamedie 也许不传入 userId 是最优雅的....

2019-02-19 11:05:35 +08:00

回复了 Lateautumn 创建的主题 › Python › JWT 服务端怎么理解不需要存储 session

@yamedie 如何"优雅地"鉴别 token 和传入的 userId 是否对应同一个用户?

2019-02-19 11:03:16 +08:00

回复了 Lateautumn 创建的主题 › Python › JWT 服务端怎么理解不需要存储 session

@d5 不, 可能我没描述清楚. 比如 userId=1 的用户正常登录得到了 token=11111, 他调用"我的账户"接口, 但篡改了 post 请求里的 userId->2, token 合法, 接口合法, 如何防止他看到 2 号用户的个人信息? 如果有无数个类似的接口, 如何鉴别 token 和传入的 userId 是否对应同一个用户?

2019-02-19 10:54:24 +08:00

回复了 Lateautumn 创建的主题 › Python › JWT 服务端怎么理解不需要存储 session

前端进来插句嘴, 如果按照#2 所说的那样, 只认钥匙(token)不认人(userId), 应该如何解决水平权限问题? 即: 正常登录有合法 token 的用户, 如何防止他调用接口查阅其他用户的隐私数据? token 要和 userId 进行关联是吗, 那这样还能认为是无状态吗?

2019-02-18 09:54:30 +08:00

回复了 freedom1988 创建的主题 › 前端开发 › [新年新气象] 赠送 6 本前端面试书籍

抽奖抽奖!

2019-02-18 07:40:07 +08:00

回复了 xiangtianxiao 创建的主题 › MIUI › 如何禁止 miui 静默安装垃圾软件？

程序员用小米的真多，这里不是 i2ex 吗

2019-02-15 20:41:17 +08:00

回复了 azh7138m 创建的主题 › 互联网 › 使用 Github 账号登录黑客派之后， Github 自动 follow https://github.com/88250 并 star https://github.com/b3log/symphony

事主已经认错了 https://hacpai.com/article/1550192905665/comment/1550197623535