后台提供了一个接口:
获取所有用户交易记录
这个接口在后台做为用户列表的搜索页面。
在前台为单个用户的个人交易记录。
在node端我实现的是接口的转发,把js的接口转发到后台。
所以我在js中调用接口的方式为:
/v1/transactions?userId = 123
userId是登陆以后给我的,我直接显示在页面上方便我在不同的场合中调用。
后台内容这会出现安全问题:
认为userID不能让客户知道(因为userID为自增的别人能根据userID推算出顾客的数量)
认为我的url不能以这种方式直接传递,这样别的人就知道了我们的表或者说是请求方式。
我想寻找解决办法,但是我感觉这种安全的错误也不在我这边:
userID是后端提供的,当时就不应该是自增的。我是可以把userID保存在node的session中然后在node上面拼接,但是这种办法很麻烦,我要根据不同的接口拼接不同的数据。
url直接连接我认为没什么问题,没想到什么好的别的请求办法。
与恶龙缠斗过久,自身亦成为恶龙;凝视深渊过久,深渊将回以凝视…