2020-08-16 01:26发布
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嗨,
我有一个自定义sap ui5应用程序,其中有一个条件检查以测试用户是否被授权。 我正在进行odata呼叫以检查授权。 但是问题是,其他开发人员在处于调试/开发人员工具模式(F12)时可以轻松覆盖/更改授权。 这对我来说似乎是某种安全威胁。 如何在我的controller.js中隐藏安全检查代码?
嗨
永远不要在前端执行授权检查,因为正如您已经提到的那样,可以很容易地绕开它。在后端执行任何用户没有的授权检查 影响!
当然可以,例如 如果用户无权创建对象,则在UI中隐藏创建按钮。 但是,在后端服务中,必须在创建对象之前再次检查此授权。
关于 Simon
"从不信任用户输入"。
最多设置5个标签!
嗨
永远不要在前端执行授权检查,因为正如您已经提到的那样,可以很容易地绕开它。
在后端执行任何用户没有的授权检查 影响!
当然可以,例如 如果用户无权创建对象,则在UI中隐藏创建按钮。 但是,在后端服务中,必须在创建对象之前再次检查此授权。
关于
Simon
"从不信任用户输入"。
一周热门 更多>