0
が注文アプリケーション、ユーザー、「ベン」は私が認証されてきたことを実行する前に...安らかAPI ..セッションセキュリティ
/オーダー/ 1今
を発行することにより、特定の順序を一覧表示することができるだろうと仮定"Ben"(ユーザ名/パスワード認証)を入力し、ユーザ名を(sha1チェックサムで署名した)クッキーとして送信します。私は「ベント」私に指示クッキーがまだ認証されているが、誰が、idの順序= 23が属していない
/オーダー/ 23
を発行するから彼を停止することができ、各受信HTTP要求の
ベンに
だから、私は注文23が実際に "ベン"に属していることを確認するロジックを書くべきだと思います...このような状況のためのベストプラクティスかパターンですか?
シリアルプライマリキーIDではなく、別の「機能プライマリキー」を使用する必要がありますか?
うーん。私はそれを自分で探してきました。特権エスカレーションと関係があり、[リンク](http://www.lulu.com/product/download/owasp-ruby-on-rails-security-guide/4489819)でカバーされています...しかし、私は研究を続けています – Lance
また、owaspトップ10のリスト[OWASP](https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project) – Lance
または[リンク](http://stackoverflow.com/questions/6382900/playframework- owasp-top-10) – Lance