Web服务(使用POST)允许请求者更新用户的详细信息。 Web服务接受要更新的用户的ID。
我认为将请求的id作为参数进行处理是有风险的。有人可以创建一个帖子请求和 插入任何用户的ID并更新该用户的详细信息。
要确保无法更新用户详细信息的可接受级别,有哪些选项。这是 我的想法:
目前还没有安全框架。
答案 0 :(得分:0)
使用https进行安全传输是一个良好的开端。
由于您已使用“spring”标记了您的问题并且没有安全框架,我建议您查看Spring Security,它与Spring很好地集成。