在構建安全可靠的后端系統時,數據權限控制至關重要。本文將探討一種高效且安全的方案,用于驗證數據修改操作的權限。
假設數據庫表結構包含id、name和createuserid字段,其中createuserid標識數據的創建者。示例數據如下:
[ { "id": "100", "name": "data1", "createuserid": 1 }, { "id": "101", "name": "data2", "createuserid": 2 }, { "id": "102", "name": "data3", "createuserid": 3 }, { "id": "103", "name": "data4", "createuserid": 4 }, { "id": "104", "name": "data5", "createuserid": 4 } ]
前端請求包含id、name和userid(通過JWT解密獲取)。例如:
{ "id": "103", "name": "data4-updated", "userid": 4 }
為了增強安全性,后端不應直接信任前端提供的userid。傳統的先查詢后比對方法效率低下。
更優的方案是將權限校驗直接嵌入UPDATE語句中:
UPDATE 表名 SET name = #{name} WHERE id = #{id} AND createUserId = #{userid}
其中#{id}、#{name}和#{userid}分別對應前端請求參數。此語句僅更新id和createUserId都匹配的記錄。若createUserId不匹配,則更新操作失敗,返回受影響行數為0;否則,返回受影響行數大于0,表示更新成功。
這種方法在數據庫層面進行權限控制,避免了額外的查詢,提升了效率,并增強了安全性,因為只有符合條件的數據才會被修改。
? 版權聲明
文章版權歸作者所有,未經允許請勿轉載。
THE END
