当用户已经登陆成功后,在进行其他的修改操作时,很多都需要进行信息的校验,来确认用户修改的信息是否是他自己的发布的信息,避免他手动的的修改传入参数,修改非自己的信息。最经我们有个逻辑的漏洞,在app调用服务端的登陆接口登陆成功后,返回给app的信息中包含用户的userid,客户端在回去返回的userid后,会在其他的业务中把该userid传递过去,我们一些业务没有对这个userid进行真实性校验,这就造成了只用在修改登陆接口返回的userid,就可以用任何的人的账号进行操作。对于客户端跟服务端的信息交换,一般都是客户端在调用接口时进行了参数的加密来验证是否是客户端发送的请求,但是这只能解决过滤非自己的客户端发送的伪造请求,对于用户利用自己的客户端发送的恶意请求就无法过滤掉了。那么如果解决这个问题呢,方法是在进行登陆后返回的信息中在添加一个usertoken的返回值,这个值,可以是用用户信息的某几个字段加密生成的。当请求其他的需要userid的业务是必须把该参数也传递过去,在服务端用userid获取用户信息进行加密,验证usertoken如果不通过说明userid被串改,是非法请求。z