收藏
回答

用户角色信息不单独存放会不会不安全?

框架类型 问题类型 终端类型 AppID 基础库版本
小程序 需求 客户端 wxefe6b771cbd910b9 2.7.1

我看数据库不能针对单独字段设置权限,我当前把普通用户信息和用户角色信息放在同一个表中,我希望普通信息允许创建人自行修改,但角色信息只允许管理员修改,我现在可以用小程序客户端界面来实现这种区分,但是由于无法在数据库层面进行权限控制,我担心黑客通过某种办法在客户端发送类似于JSON的数据强行自行更改自己的角色从而达到提升自身权限的办法,请问大家这个在微信小程序环境中是否可能发生?如果可能发生,我是否要单独建一个表存放敏感数据,并针对整个表限制为只允许管理员访问? 谢谢大家!


回答关注问题邀请回答
收藏

1 个回答

  • 铭锋科技
    铭锋科技
    2019-06-04

    可能发生,防止不了黑客

    2019-06-04
    赞同
    回复 5
    • 乌尔班羊
      乌尔班羊
      2019-06-04

      那就是説我只能拆分敏感信息到另外一个表中了?另外如果这样做了,会更安全一些?至少客户端这部分没问题了?

      2019-06-04
      回复
    • 铭锋科技
      铭锋科技
      2019-06-04回复乌尔班羊

      2019-06-04
      回复
    • 乌尔班羊
      乌尔班羊
      2019-06-04回复铭锋科技

      非常感谢!

      2019-06-04
      回复
    • 铭锋科技
      铭锋科技
      2019-06-04回复乌尔班羊

      不客气

      2019-06-04
      回复
    • 乌尔班羊
      乌尔班羊
      2019-06-04回复铭锋科技

      还得再向您求教一下,如果是这样的话,我是否只能将这种数据表设置为“所有用户不可读写”,然后编写云函数针对客户端的openid进行鉴权,然后再进行访问呢?但是如果客户端伪造openid发起请求怎么办呢?想不清楚了,还望指教一二!其实如果简单一点儿问,就是我设想在客户端编一个管理界面来操作服务器上的数据,而不想总在云开发平台上直接改数据,我一个做研发的也不能总是运维那些上线数据呀,总得将项目移交出去,我就是不知道怎样在客户端安全地实现这个功能。

      2019-06-04
      回复
登录 后发表内容