62,073
社区成员
发帖
与我相关
我的任务
分享急!我用Ajax提交表单,怎么验证权限。
我用AjaxPro来弄Ajax,然后我怎么验证提交表单的那人的权限。
比如某个Ajax方法只能是管理员使用的,其它用户不能调用。
如果我用一个参数来区分,那么别人也会作弊啊。有什么可以不用参数区分也可以验证权限的呢?
PS:我没有使用Form验证来管理用户登录。用普通的ASP.NET,不用MVC。
比如某个Ajax方法只能是管理员使用的,其它用户不能调用。
如果我用一个参数来区分,那么别人也会作弊啊。有什么可以不用参数区分也可以验证权限的呢?
PS:我没有使用Form验证来管理用户登录。用普通的ASP.NET,不用MVC。
...全文
请发表友善的回复…
发表回复
1BkdtPrjCG 2012-08-15
- 打赏
- 举报
楼上所有的大佬,我说你们真的不理解我说的东西吗?
我懂得进行每一个步骤之前要判断这个人的身份。
但是要做到这一点,前提是什么呢?
1、要有一个地方存储这个人的身份。
问:存在哪里?
1.1、储存在隐藏字段里。
Google浏览器可以把隐藏字段修改掉,所以非常不安全。
1.2、储存在Cookies里。
问:如果我操作的这个步骤是ajax,是否确定Cookies也可以一并回传到服务器?
1.3、储存在Session里。
储存在Session里面不仅非常烧内存,而且还有时间限制,会丢失。
大老爷们都是理解错误了。
我懂得进行每一个步骤之前要判断这个人的身份。
但是要做到这一点,前提是什么呢?
1、要有一个地方存储这个人的身份。
问:存在哪里?
1.1、储存在隐藏字段里。
Google浏览器可以把隐藏字段修改掉,所以非常不安全。
1.2、储存在Cookies里。
问:如果我操作的这个步骤是ajax,是否确定Cookies也可以一并回传到服务器?
1.3、储存在Session里。
储存在Session里面不仅非常烧内存,而且还有时间限制,会丢失。
大老爷们都是理解错误了。
licai1210 2012-04-05
- 打赏
- 举报
在AJAX方法执行操作之前先来次判断,看当前用户是不是管理员,可以用登录的方式保存登录信息到session或者其他地方,然后在AJAX方法里面取这个东西做判断应该是可以的
happytonice 2012-04-05
- 打赏
- 举报
检验是否登录,未登录转到登录页面,登录后再执行
边城的刀声 2012-04-05
- 打赏
- 举报
[Quote=引用 3 楼 的回复:]
但是我想他永久保存信息,比如一篇文章我要打5个小时才能打完,然后只能用cookie保存登录信息,Session不能保存这么久。会掉。
但是cookie怎么能用ajax传回来验证吗?感觉传cookie很笨啊。
[/Quote]
那你在提交的时候,如果返回的是用户没有登录,再让它输入遍用户名和密码就行了,登录后,然后再提交。
但是我想他永久保存信息,比如一篇文章我要打5个小时才能打完,然后只能用cookie保存登录信息,Session不能保存这么久。会掉。
但是cookie怎么能用ajax传回来验证吗?感觉传cookie很笨啊。
[/Quote]
那你在提交的时候,如果返回的是用户没有登录,再让它输入遍用户名和密码就行了,登录后,然后再提交。
1BkdtPrjCG 2012-04-05
- 打赏
- 举报
问题就是隐藏控件里面的东西用谷歌浏览器就能修改了,一旦修改就等于可以改权限了。
_老吴 2012-04-05
- 打赏
- 举报
用户名可以放在隐藏控件里啊,不仅js能读,后台也可以读,只要你不做清除操作,他是永远都存在的
1BkdtPrjCG 2012-04-05
- 打赏
- 举报
但是用户名存放在哪里?如果用隐藏字段,用谷歌浏览器就能改掉了。如果存放在cookie里面就得回传cookie(好像很笨)。还有一个就是存放在javascript变量里面,但是js变量能不丢失吗?
覃祖甘 2012-04-05
- 打赏
- 举报
就我之前做过的一个项目的经验来看.
你用AJAX调后台的Web Service,传用户名进去验证,如果是管理员就让他操作管理员该做的事情.
如果不是管理员则什么也不做就行了.
你用AJAX调后台的Web Service,传用户名进去验证,如果是管理员就让他操作管理员该做的事情.
如果不是管理员则什么也不做就行了.
1BkdtPrjCG 2012-04-05
- 打赏
- 举报
但是我想他永久保存信息,比如一篇文章我要打5个小时才能打完,然后只能用cookie保存登录信息,Session不能保存这么久。会掉。
但是cookie怎么能用ajax传回来验证吗?感觉传cookie很笨啊。
但是cookie怎么能用ajax传回来验证吗?感觉传cookie很笨啊。
边城的刀声 2012-04-05
- 打赏
- 举报
如果不是管理员,直接就报错就行了
边城的刀声 2012-04-05
- 打赏
- 举报
用session把用户信息保存下来
