开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如果验证代码不是来自请求，我应该把它放在哪里？

如果验证代码不是来自请求，我应该将其放在后端服务器上。

在后端服务器上进行验证代码的存放可以确保代码的安全性和可靠性。将验证代码放在后端服务器上可以防止恶意用户篡改或绕过验证过程，确保验证的准确性和可信度。

在后端服务器上存放验证代码的方式可以有多种选择，以下是一些常见的方式：

后端验证中间件：可以在后端应用程序中使用验证中间件来处理验证逻辑。验证中间件可以拦截请求并进行验证，如果验证失败，则可以返回相应的错误信息。常见的后端框架如Express.js、Django等都提供了相应的验证中间件。
服务端验证函数：可以在后端应用程序中编写验证函数来处理验证逻辑。验证函数可以接收请求参数并进行验证，如果验证失败，则可以抛出异常或返回错误信息。通过在后端应用程序中调用验证函数，可以实现对请求的验证。
API网关：可以使用API网关来进行验证代码的集中管理和统一处理。API网关可以拦截请求并进行验证，如果验证失败，则可以拒绝请求或返回相应的错误信息。腾讯云的API网关产品提供了丰富的验证功能，可以根据需要进行配置和使用。

总结起来，将验证代码放在后端服务器上可以确保验证的安全性和可靠性。具体的实现方式可以根据实际需求和使用的后端框架或产品进行选择和配置。

相关搜索:'.node-version‘文件的格式应该是什么，我应该把它放在哪里？.tolowerCase()我应该把它放在哪里？Groovy元编程-我应该把它放在哪里？Mvc模式:我应该把这段php代码放在哪里？Rails 3.1新手:我应该把javascript代码放在哪里？上传文件时，我应该把微调代码放在哪里？发布后，由于放置data.frame而导致的错误。我应该把它放在哪里呢？在Django中我应该把验证器放在哪里？在这个axios请求中，我应该把我的配置放在哪里？在这个php代码示例中，我应该把html加粗的标签放在哪里？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

TW洞见〡为什么你的Angular代码很难测试？

上面的代码应该可以满足我们的要求(验证逻辑因为不是我们关注的重点，所以并不完善)，而且这个directive实现起来也挺简单的，但是现在让我们一起来分析一下为什么我们认为这种写法是比较糟糕的。...Angular是高度模块化的，它希望通过这种模块的形式来解决JS代码管理上的混乱，并且使用依赖注入来自动装配，这一点与SpringIOC很像，带来的好处就是你的依赖是可以随意替换的，这就极大的增加了代码的可测试性...首先， $http是一个比较初级的依赖，与其实注入的业务服务不是一个抽象层级，如果在你的业务代码中直接操作http请求，给人的一种感觉就像是在SpringMVC的requestmethod中直接使用HttpServeletRequest...其实，作为一个service的接口， validateAddress应该只接收一个待验证的地址，验证完成之后返回一个验证结果就可以了，本来应该是一个很干净的接口，我们之所以丑陋把对应的处理函数也传进去，...你应该已经猜到了第二个问题我会说一说对它的测试，通常来说，如果一个service创建成本较高或是存在外部依赖/请求的话，我们会将这个servicemock掉，通过让mockedservice直接返回我们想要的结果来让我们只关注被验证的业务逻辑

1.5K3 0

面试被问到：Token ，Cookie、Session傻傻分不清楚？

为了做这种区分，服务器就要给每个客户端分配不同的“身份标识”，然后客户端每次向服务器发请求的时候，都带上这个“身份标识”，服务器就知道这个请求来自于谁了。...传统身份验证 HTTP 是一种没有状态的协议，也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端，客户端使用用户名还有密码通过了身份验证，不过下回这个客户端再发送请求时候，还得再验证一下。...大概的流程是这样的：客户端使用用户名跟密码请求登录服务端收到请求，去验证用户名与密码验证成功后，服务端会签发一个 Token，再把这个 Token 发送给客户端客户端收到 Token 以后可以把它存储起来...，比如放在 Cookie 里或者 Local Storage 里客户端每次向服务端请求资源的时候需要带着服务端签发的 Token 服务端收到请求，然后去验证客户端请求里面带着的 Token，如果验证成功...如果不存储到数据库，应该存储到哪里呢。2.客户端得到的token肯定要加密存储的，发送token的时候再解密。存储到数据库还是配置文件呢？

7103 0

DDD这样落地

这一段代码可以算是precondition，但也是业务规则的一部分，颇有争议，但没有正确答案，只是看你代码是否有复用性，目前我个人倾向于放在业务规则中，也就是domain层厚与薄常人讲，application...为了隔离领域模型与外部设备，同样需要为它们定义抽象的出口端口，这些出口端口该放在哪里呢？如果依然放在领域层，就很难自圆其说。...，软件架构不应该因不同的底层数据储存方式而产生巨大改变4.独立于外部依赖：无论外部依赖如何变更、升级，业务的核心逻辑不应该随之而大幅变化5.可测试：无论外部依赖什么样的数据库、硬件、UI或服务，业务的逻辑应该都能够快速被验证正确性...它的职责与属于应用层的入口端口也不同，因为应用层的应用服务是对外部请求的封装，相当于是一个业务用例的外观。根据六边形架构的协作原则，领域模型若要访问外部设备，需要调用出口端口。...为了隔离领域模型与外部设备，同样需要为它们定义抽象的出口端口，这些出口端口该放在哪里呢？如果依然放在领域层，就很难自圆其说。

1.6K6 1

Laravel 5.0 之目录结构与命名空间

但 5.0 版本改用 PSR-4 规范来实现主要逻辑的自动加载已经是一大进步, 为把应用代码与 Laravel 进行分离提供了理论上的可能. xxx 应该放在哪里?...如果 xxx 要通过 Web 服务器来处理发送给请求流(比如 Controllers 和 FormRequests), 它应该放在 app/Http 目录下....如果 xxx 要通过 CLI (命令行界面) 来处理请求, 它应该放在 app/Console 目录下....如果 xxx 在以前的版本中是放在 routes.php 文件中(但它不是一个路由定义), 或者是放在 start.php 文件中, 那么现在它应该写到某个 Service Provider 里....如果 xxx 不属于上面的任何一种情况, 那么从目录结构就可以很清楚看出它应该放在哪里了. 代码中的命名空间(namespace)是怎么工作的?

1.4K4 0

token身份认证机制(token怎么获取)

可是如果不保存这些session id , 怎么验证客户端发给我的session id 的确是我生成的呢？...如果不去验证，我们都不知道他们是不是合法登录的用户，那些不怀好意的家伙们就可以伪造session id , 为所欲为了。嗯，对了，关键点就是验证！...这个token 我不保存，当小F把这个token 给我发过来的时候，我再用同样的HMAC-SHA256 算法和同样的密钥，对数据再计算一次签名，和token 中的签名做个比较，如果相同，我就知道小...为了做这种区分，服务器就要给每个客户端分配不同的“身份标识”，然后客户端每次向服务器发请求的时候，都带上这个“身份标识”，服务器就知道这个请求来自于谁了。...客户端储存 token, 并且每次请求都会附带它。服务端验证 token 并返回数据。每一次请求都需要Token。Token 应该在 HTTP的头部发送从而保证了 Http 请求无状态。

5.1K1 0

【前端面试题】2021315面试题

我一回答方便就直接开始丢题目，我也不知道哪个公司的。感觉公司不是很正规的感觉，感觉那边有个问题题库，面试官不够灵活，读课本一样，不说了，看题！ 1.原型链？...客户端收到 Token 以后可以把它存储起来，比如放在 Cookie 里或者 Local Storage 里客户端每次向服务端请求资源的时候需要带着服务端签发的 Token 服务端收到请求...，然后去验证客户端请求里面带着的 Token，如果验证成功，就向客户端返回请求的数据 APP登录的时候发送加密的用户名和密码到服务器，服务器验证用户名和密码，如果成功，以某种方式比如随机生成32位的字符串作为...如果不存储到数据库，应该存储到哪里呢。 2.客户端得到的token肯定要加密存储的，发送token的时候再解密。存储到数据库还是配置文件呢？...Model 我们可以把Model称为数据层，因为它仅仅关注数据本身，不关心任何行为（格式化数据由View的负责），这里可以把它理解为一个类似json的数据对象。

1K1 0

解决Django提交表单报错:CSRF token missing or incorrect的问题

settings.py文件有配置了，还是报错，就要在form表单底下加一行代码： {% csrf_token %} 这样应该就不会报上面错误了，以上内容仅供学习参考，谢谢！...直到我的博客收到了如下评论，确实把我给问倒了，而且我也仔细研究了这个问题。 1. Django是怎么验证csrfmiddlewaretoken合法性的？ 2....django 第一次响应来自某个客户端的请求时，会在服务器端随机生成一个 token，把这个 token 放在 cookie 里。...我对csrftoken的验证方式起了疑问，后来看了一段官方文档的解释。...我又有疑问了，同一次登录，form表单中的token每次都会变，而cookie中的token不便，django把那个salt存储在哪里才能保证验证通过呢。直到看到源码。

4.8K3 0

用ASP.NET Core 2.0 建立规范的 REST API -- 预备知识 + 项目准备

这是因为这样的原始数据是包含在请求的Body里面，为了解决这个问题，你需要告诉Action从哪里获取参数，针对这个例子就应该使用 [FromBody] 属性标签：如果提交的是表单数据，那么就应该使用...使用自定义验证属性标签：把该标签放到name属性上使用刚才的请求，其结果是：另一种方式，在Person类实现IValidatableObject接口但是我使用这种方法并不好用，不知道我哪里用错了...当然了, 如果firstConfig里面有而secondConfig却没有的键, 它的值肯定来自firstConfig. 配置提供商配置数据可以来自多种数据源, 它们可能是不同格式的....这时, 就应该使用Unit Of Work 模式了, 首先我添加一个IUnitOfWork的接口, 我把它放在MyRestful.Core项目的interfaces文件夹下了: 只有一个异步方法SaveAsync...也就违反了DIP原则, 所以如果想按原则执行, 就需要引进一个新的模块: 把所有的抽象相关的类都放在Core里面. 这样就满足了DIP原则.

2.6K7 2

Gin框架系列03：换个姿势理解中间件

什么是中间件中间件，英译middleware，顾名思义，放在中间的物件，那么放在谁中间呢？本来，客户端可以直接请求到服务端接口。 ?...是不是太简单了？这就交差了？我还能打十个啊！？ ? 看来我要把毕生所学都交给你了。延伸阅读 Next 假如我们定义了两个中间件，一个是平也最帅，另一个是在哪里最帅。...func main() { r := gin.Default() r.Use(PingYe(), Where()) r.Run() } 但是，如果我在不更改注册顺序的前提下，怎么调换一下顺序，先输出在全宇宙再输出平也最帅呢...它的作用就是先执行以下一个中间件，执行完了再回来继续执行接下来的逻辑。...Abort 当然，除了提供Next方法外，理论上也应该有个中断操作吧，毕竟拿中间件来做授权验证的话，验证失败后还是希望阻断请求的。所以，Abort就是我们要找的那个方法。

1.5K1 0

小妹妹，我想握着你的手，不为别的，只为给你讲清楚CVE-2020-5902

如果没记错，我应该选择的是图中标红的那个版本，点进去,继续选择要下载的版本 ?...于是我再次陷入了对人生以及社会的思考～到底是哪里的配置可以让该servlet接受所有的请求？...，换了个思路，我已知这个漏洞就是httpd与tomcat解析差异导致的（但是这个差异体现在什么地方，或者说这个差异为什么导致了权限绕过，我不清楚），我心想，既然是解析差异，那么应该是httpd把我的请求当成一个普通请求放行了...可以看到当访问一个需要授权的文件时，没有抓到包，也就是说请求根本就没有到达tomcat，所以，此时我就意识到可能权限验证根本就是在httpd实现的，而不是那篇文章中所说的在controlServlet，...，然后用了这么一个绕过手法测试了一下，结果没想到，真就捡到了一个漏洞参考文章这篇文章分析的很好，本文关于c语言反编译那一块的图片都是来自它，遗憾的是它是我在写这篇文章的前一天才发出来的，要是早看到这篇文章

6742 0

bootstrap + requireJS+ director+ knockout + web API = 一个时髦的单页程序

特别是在当今的移动时代，单页程序如果放在移动设备上去浏览就能够拥有像native app一样的体验，也许我们web开发者们应该期待这种技术的大力普及，这样不管前端还是后端都是我们的天下啊，让那些Andrioid...页面某一块局部的数据可以在页面在客户端加载完之后，再从新发起一个请求去把某一块的HTML代码再拿下来显示到页面中。...而且我也偷了一个懒，没有把这些放在客户去实现，大家有好的点子可以分享的么？开源框架介绍　　上面用了这么多的开源框架，那么它们都是干什么的，又是如何使用的呢？...大家如果去看我的那个Demo就会发现，URL并不是像某Q邮箱那样一直不变的，我们还是可以像以前那样每一个单一的功能一个URL。...requireJS 　　这玩意我也不用多介绍了吧，它具有延迟加载和避免重复加载的功能，来自官方的定义: requireJS是一个JavaScript文件和模块加载器。

1.2K5 0

bootstrap + requireJS+ director+ knockout + web API = 一个时髦的单页程序

特别是在当今的移动时代，单页程序如果放在移动设备上去浏览就能够拥有像native app一样的体验，也许我们web开发者们应该期待这种技术的大力普及，这样不管前端还是后端都是我们的天下啊，让那些Andrioid...页面某一块局部的数据可以在页面在客户端加载完之后，再从新发起一个请求去把某一块的HTML代码再拿下来显示到页面中。...而且我也偷了一个懒，没有把这些放在客户去实现，大家有好的点子可以分享的么？开源框架介绍　　上面用了这么多的开源框架，那么它们都是干什么的，又是如何使用的呢？...大家如果去看我的那个Demo就会发现，URL并不是像某Q邮箱那样一直不变的，我们还是可以像以前那样每一个单一的功能一个URL。...requireJS 　　这玩意我也不用多介绍了吧，它具有延迟加载和避免重复加载的功能，来自官方的定义: requireJS是一个JavaScript文件和模块加载器。

1K5 0

代码调试的最佳指南

这本书我还没有读过，但是我已经买了一本，我希望我读完后决定是否应该推荐它。...这本书中阐述的一些代码调试应该遵循的规则似乎很有道理，比如说“了解系统”，“让它失败”，“别想了，先看看”，“分而治之”，“一次只改变一件事情”，“保持审查详细记录”，“从一个新的角度看问题”，和“如果你没有修复它...确实有时候一个bug不是我写的代码造成的！但一般来说，在一个已经验证的库和我上个月编写的代码之间，通常是我上个月编写的代码才是真正的问题所在。 ?...我认为这里可能需要循环地重复以下步骤：猜测可能发生的错误的某一个方面（比如说，“这个变量被设置为X，它应该是Y”，或“发送到服务器的请求是错误的”，或“这段代码根本没有运行过”等等）。...Xcode可以在你遇到断点时播放声音（并且代码不停止而继续执行下去）。我把它们放在代码中的某个位置，然后听嗡嗡的叮当声来指示代码中发生的错误”（欲知详情，请查看上面提到的推文）。

1.1K4 0

来自前端同学对后端童鞋的吐槽!@!#^$%

谁应该主导接口的设计或者更直白一些，应该是接口的消费方还是提供方来决定接口的设计？当然是接口的消费方「接口」最吊诡的地方在于提供方大费周章把它实现了，但它自己却（几乎）重来都不使用。...以请求失败的错误信息为例，错误信息只会出现在接口非正常返回的情况下，但我们应该始终在返回体中用一个字段为它预留位置吗？...并且在将来的维护中，每个看到返回体是数组的人都会纳闷为什么返回的结果明明只有一条，还需要用数组封装，是不是我遗漏了什么？于是不得不投入精力来验证是否真的有可能返回更多的数据。...抱歉我不是针对这一个 case，而是在强调任何场景下无论实现的难易都不应该添加无意义的代码，“勿以恶小而为之” 就是这个道理 “关注当下” 还有另一个维度含义：例子五目前我们已经有创建单个文章的接口...但是，哪怕只有很小的机会，也应该把这个环节做到尽善尽美。结束语对于糟糕的接口设计我还能继续没完没了的抱怨下去，但突然然觉得洋洋洒洒的继续写下去似乎没有太大意义。

4342 0

代码调试最佳实践

这本书我还没有读过，但是我已经买了一本，我希望我读完后决定是否应该推荐它。...这本书中阐述的一些代码调试应该遵循的规则似乎很有道理，比如说“了解系统”，“让它失败”，“别想了，先看看”，“分而治之”，“一次只改变一件事情”，“保持审查详细记录”，“从一个新的角度看问题”，和“如果你没有修复它...确实有时候一个bug不是我写的代码造成的！但一般来说，在一个已经验证的库和我上个月编写的代码之间，通常是我上个月编写的代码才是真正的问题所在。...我认为这里可能需要循环地重复以下步骤：猜测可能发生的错误的某一个方面（比如说，“这个变量被设置为X，它应该是Y”，或“发送到服务器的请求是错误的”，或“这段代码根本没有运行过”等等）。...Xcode可以在你遇到断点时播放声音（并且代码不停止而继续执行下去）。我把它们放在代码中的某个位置，然后听嗡嗡的叮当声来指示代码中发生的错误”（欲知详情，请查看上面提到的推文）。

9511 0

挑选 npm 模块很费事？掌握这些技巧就能事半功倍！

验证 Ajv：在需要验证 JSON 时使用（例如来自一个 Web 请求的 JSON）。...我认为它用起来没什么问题。但如果你有问题 / 疑虑就请咨询你的法律部门，因为我不是律师。 forever：你想要一个能在服务崩溃时重启服务的进程管理器时可以选它。...Web Socket： Web Socket 这里我单推 primus。它支持所有流行的 Web Socket 实现，而且更新维护很勤快；如果你想换个库用，那么改一行代码就能轻松切换不同的库了。...ESlint：你需要一个 linter 来自动查找（和修复）代码中的语法和模式问题时选它。调试目前 Node 的原生调试已经够用了，我建议用原生功能就行。...如果你犯了选择困难症，甚至不知道从哪里下手的话就看看本文的推荐吧。

1.5K2 1

软件调试的技巧

对细节的观察应该到什么程度合适呢？简单的答案是：一直观察，直到把问题的原因锁定在几种可能之内。...在修改bug时候，如果某个改动没有修复bug，就应该立即把它改回来。...规则8：获得全新观点 “要想重新理清一个案子的头绪，最好的方法就是把它讲给别人听。”...规则9：如果你不修复bug，它将依然存在 “当危险已经离你很近时，拒绝承认它并不是勇敢的表现，而是愚蠢。” ——福尔摩斯，《最后一案》如果你不修复bug，它不会自动消失。...在最开始的工作中，有时候会羡慕老司机的“直觉”——看到一个错误日志，就大概知道是哪里有问题，后来自己查问题查得多了之后，自己也get到了这种“直觉”，也理解了——这不是直觉，这是已经被实践验证过很多次的经验

8272 0

没有架构师的命，却得了架构师的病！

我的第一个困惑就是，所有的请求都要再次转发到另一台机器上，把数据取出来，单个请求可能不算什么，每天有几十万次请求，这中间的损耗不大么，为什么不把 Memcache 放到本地机器上呢？...在当时，我不清楚内网和外网的差别，也不清楚访问 Memcache 的请求倒底是需要多少 MS，更不理解，把 Memcache 放在和业务层一台机器，或者是分开放的差别倒底是什么。...而且，原来不应该把所有的代码放到一个 Web 里，原来分布式是这么回事儿，原来一个系统，是由多个子系统构成的，原来还要分层，原来封装和抽象是这么个意思。...一台服务挂一台数据库，哪些数据库应该放在一个实例里，哪些应该单独拆出去？每台服务器的配置是什么？我大概知道一点点，架构师要做哪些事情，他就是要把这些大的骨架定好，然后我们去填充里面的内容。...所以，这些技能，是不是也应该归纳到架构师的职责里去？

5573 0

用ASP.NET Core 2.0 建立规范的 REST API -- 预备知识

中间件最好不要像上面一样写在Startup类里, 每个中间件应该放在单独的类里. 我把上例中检查是否为数字的中间件写在一个单独的类里: ?...针对POCO类，即使名称不是以Controller结尾，仍然可以把它作为Controller，这就需要在类上面添加 [Controller] 这个属性： ?...如果某个类的名字以Controller结尾，但是你不想把它当作Controller，那么就应该为该类标注 [NonController] 这个属性： ?...这是因为这样的原始数据是包含在请求的Body里面，为了解决这个问题，你需要告诉Action从哪里获取参数，针对这个例子就应该使用 [FromBody] 属性标签： ?...但是我使用这种方法并不好用，不知道我哪里用错了！过滤器 ? 和中间件一样，ASP.NET Core MVC的过滤器也可以在请求管道的特定阶段的之前或之后执行某些代码。

1.6K0 0

详解微服务中的三种授权模式

当我与一个新团队进行对话时，它们让我更容易对解决方案进行分类。在构建微服务时，我看到了处理授权数据的三种主要模式。我将在这篇文章中讨论这三种方法：将数据留在原处，让服务直接请求它。...它很简单，但应该能说明问题：有用户、组织和文档。用户在组织中拥有角色，包括成员和管理员。文档属于组织。如果用户在组织中的角色为成员，则可以阅读文档。...有一些团队遵循这种通用模式，但他们认为应该用某种专门的授权服务替换所有这些请求流，我和这些团队有过交谈。我总是问他们真正的问题是什么。如果问题是时延，也许在正确的位置添加缓存可以解决这个问题。...然后网关将带有用户 ID 和角色信息的请求代理给下游服务（上面示例中的文档服务）。网关模式的主要好处是其架构简单。它使下游服务（如文档服务）的开发人员不必关心角色数据来自哪里。...我的团队正在努力构建一个授权服务，力求避免集中所有授权数据的挑战。如果这是你所面临的问题，请联系我们。你应该用哪一个? 当与工程师团队交谈时，我的指导意见总是“围绕应用程序构建授权，而不是反过来。”

7042 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭