Тож нехай у мене є два залежні об'єкти, чиїid "s я передаю в рядок запиту, і дозвольте" сказати, що я не переживаю батьків, щоб отримати дитину, а навпаки, я читаю дитину безпосередньо через dao і можу також зберегти її, не переходячи через батьків. Що потрібно робити на стороні клієнта, чи я навіть повинен перевірити це, щоб ідентифікатор батьків у рядку запиту збігався з ідентифікатором батьків, пов’язаним із дитиною, отриманим через дао?
/ батьків / 123 / дитини / 15
Відповіді:
0 для відповіді № 1Якщо є міркування щодо безпеки(дозвіл на редагування конкретної дитини), тоді ви найвиразніше хочете перевірити батьківський ідентифікатор. Якщо хтось є власником батьків / 23 та його дітьми, але вони не мають "власного батька / 24", ви не хочете, щоб вони змінювали URL та змінювали батьківський 24 "s.
Якщо це не так, ви, мабуть, не маєте жодних причин навіть передавати батьківський / батьківський ID