T
Tersus
Gast
Mahlzeit,
darf ich den Header für HTTP-GET Anfragen ohne Bedenken zu meinen eigenen Wünschen "misshandeln"?
Szenario:
Konkretes lächerliches Beispiel:
Liefert alle Bohrmaschinen.
Aber Lehrlingen sollen z. B. die großen Bohrhammer nicht aufgelistet werden. Anhand des im Header-Feld "authorization" angegebenen Nutzernamens kann man dessen Rolle ermitteln und die Auflistung beschränken.
Ist das so legitim oder sehr "dirty"?
Grüße
* Wenn die Verbindung zwischen Server und Klient TLS verschlüsselt ist, ist der Header ja mit gesichert.
darf ich den Header für HTTP-GET Anfragen ohne Bedenken zu meinen eigenen Wünschen "misshandeln"?
Szenario:
- Ich biete ein und die selbe Ressource-URL mehreren Klienten zum Anfragen bereit.
- Jeder Klient gibt in den Header über das Feld "authorization" seinen Nutzernamen und Passwort an.
- Der Servlet, der den Request bearbeitet, muss nun anhand der Information im Header-Feld "authorization" entscheiden, wie der Request beantwortet wird.
Konkretes lächerliches Beispiel:
Code:
Request-URL: /.../Bohrmaschinen
Aber Lehrlingen sollen z. B. die großen Bohrhammer nicht aufgelistet werden. Anhand des im Header-Feld "authorization" angegebenen Nutzernamens kann man dessen Rolle ermitteln und die Auflistung beschränken.
Ist das so legitim oder sehr "dirty"?
Grüße
* Wenn die Verbindung zwischen Server und Klient TLS verschlüsselt ist, ist der Header ja mit gesichert.