防止其他人通过用户的url访问用户私人数据

1，数据是用户私人的，只能被用户自己查看，如果防止其他人通过url访问数据？

2，访问都需要登陆操作，session中放入userId，记录中放入userId，每次访问的时候根据url中记录id 得到数据，根据数据中的userId 和session中的userId 是否匹配判断是否是用户本人访问？？
但是这样就会导致需要查询数据库之后才可以得知结果

3，url中放入userId，根据url中的usrId和session中保存的userId 进行匹配判断是否是本人访问，
这样会将userId暴漏在url中

各位都是怎么做的

绝地无双

浏览 776回答 4

波斯汪

既然是私人数据，那就不需要在路由中体现 userId，登录之后，一切数据依据SESSION中的userId去查询，怎么可能会出现访问到其它用户的数据呢

GCT1015

1、userid不要放到url中2、采用token，jwt加时间戳，放到每次请求的header中

HUX布斯

方法1.使用session，如果seesion直接throw方法2.生成token，存在redis或者其它缓存机制，同是你也可以存放一些，比如uid,权限,请求限制

温温酱

可以使用redis替数据库做用户验证

随时随地看视频慕课网APP