开发中遇到的越权问题

越权问题:

描述:在使用 api 请求订单详情接口时,一般我们是传递订单id 来获取该订单的内容。但是会存在一个问题:当用户手动去变更订单id 参数来请求接口数据时,会获取到不属于他的数据,这就产生了越权。

解决办法: 根据订单id 查询到对应的user_id 对当前登录用户的id 和查询到的user_id 进行一致性判断,如果不一致,则返回操作越权。

示例代码:

public function orderAuth($order_id){
    $userInfo = new User();
    $user_id = Order::where('id',$order_id)
        ->value('uid');
    if($userInfo->id !== $user_id){
        throw new \Exception('越权行为');
    }
}

$this->orderAuth($order_id);//验证授权

你可能感兴趣的:(php,网站开发)