我有一个简单的mvc应用程序,我想在每个页面加载时验证用户的登录信息。即使它是基于会话的登录,我仍然希望验证信息是否安全。
我的问题是验证用户功能应该去哪里?它应该进入在用户请求控制器之前执行的控制器吗?
答案 0 :(得分:1)
我真的不明白你的意思是“为了安全起见,我想每次验证这些信息。”在会话令牌之外的 “信息”,您打算“验证吗?”这应该是多余的:如果用户给出了您认可的令牌,例如,来自您发给它的IP地址,则不需要进一步验证。
关于第二个问题,在任何MVC应用程序中总会有,或者说“一些必要的预备”:获取URL字符串(和任何GET / POST参数),确保它们是-expected,并且,是的,验证会话令牌以确保(a)它有效,并且(b)这样识别的用户被授权提出这个要求。如果不是这样,可以使用403 Forbidden或类似的响应转出请求:没有理由继续进行。
因此,如果“真正的”控制器 接到请求,则可以理所当然地认为该请求(显然)是格式良好的并且是经过授权的。 (或者,至少,经过身份验证:请求者,此时,“具有经过验证且值得信赖的身份。”)