点击此处--->
群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嗨,
我有一个自定义sap ui5应用程序,其中有一个条件检查以测试用户是否被授权。 我正在进行odata呼叫以检查授权。 但是问题是,其他开发人员在处于调试/开发人员工具模式(F12)时可以轻松覆盖/更改授权。 这对我来说似乎是某种安全威胁。 如何在我的controller.js中隐藏安全检查代码?
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','http://www.easysap.com/data/attach/logo/logo.png', '推荐 追夢秋陽 的问题《在控制器SAP UI5中隐藏身份验证代码》','https://www.easysap.com/q-7176.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
嗨
永远不要在前端执行授权检查,因为正如您已经提到的那样,可以很容易地绕开它。
在后端执行任何用户没有的授权检查 影响!
当然可以,例如 如果用户无权创建对象,则在UI中隐藏创建按钮。 但是,在后端服务中,必须在创建对象之前再次检查此授权。
关于
Simon
"从不信任用户输入"。
一周热门 更多>