我與開發人員就用戶登錄並訪問Web應用程序中的文檔的情況進行了友好辯論。當我們加載文檔供用戶查看時,我們有會話中的用戶ID和可以通過QueryString傳遞的documentID。用戶訪問權限檢查特定數據庫對象或記錄的權限
爲了防止用戶修改QueryString上的documentID,我建議加載文檔的存儲過程將UserId作爲參數來驗證文檔的權限。
我的開發人員朋友建議我們運行一個單獨的過程來確定頁面前面的文檔的訪問權限,並且只需運行一個過程以在顯示文檔時抓取文檔。
我們錯過了什麼嗎?哪個最有效和最安全?我認爲將帶有DocID的UserId傳遞給一個過程調用來檢查權限,並將文檔拉到一個更有效的解決方案。