2回答

渃汐湲

2018-11-26

username不需要校验的，因为最终传递给数据库更新的User对象没有对username赋值，即使请求附带了username参数也无法实现更新，这也是为什么需要重新定义一个updateUser，updateUser可以保证我们只更新允许更新的值，而忽略请求中用户其他信息的更新，保证接口的准确性。

0

0

qq_爱睡觉的Koala_0

2018-10-18

看接口文档,前端只传这四个数据,所以前端封装传入的user因为没有用户id所以要把session里的用户id赋值给他,还要防止横向越权问题,因为最后要将user在设置到session里,所以必须把session里的用户名赋值给传入的user,

0

0