用户信息修改时,用户身份的验证
毕业设计
1
我们后端写了有需要输入 用户Id,用户名,密码,三个,在用户登录时已经存储在手机数据库里面了,需要修改用户信息时,就携带这三个参数去修改,不知道这样对不对? 下面是后端的验证代码
if (uId == null || uId.equals("")) {
jsonObject.put(Consts.CODE, 0);
jsonObject.put(Consts.MSG, "uId不能为空");
return jsonObject;
}
if (uName == null || uName.equals("")) {
jsonObject.put(Consts.CODE, 0);
jsonObject.put(Consts.MSG, "用户名不能为空");
return jsonObject;
}
if (uPassword == null || uPassword.equals("")) {
jsonObject.put(Consts.CODE, 0);
jsonObject.put(Consts.MSG, "密码不能为空");
return jsonObject;
}
-
首先密码作为敏感数据,不会存在本地(如果这样,我只要拿到手机就能重缓存或cookie取出密码——那不是黑客简单就盗号了??)
修改信息:输入密码,后台用于验证 是否是本人操作 ,避免他人伪造,直接调接口修改(当然这里也可以手机短信验证)
正常业务流程: 已登录 :只需输入密码,后台对比即可 未登录 :则需要手机短信验证(如忘记密码逻辑);
-
出于安全考虑呀,特别是用户去修改比较重要的用户信息比如 手机号绑定(特别重要) 身份证绑定 银行卡绑定 微信 支付宝绑定(支付相关,第三方登录相关)等等等等 这些重要的用户信息 肯定需要再次确认用户是否本人 不然万一是他人拿了用户的手机 不需要再次确认就改了这些信息肯定不行的
发表回复