我是否需要為每個頁面驗證用戶？

絕對。不僅每個頁面，而且對特權資源的每個請求，例如對更新數據，刪除，查看等的POST請求。這不僅與查看頁面有關，還與控制誰可以在系統上執行操作有關。 / p>

這聽起來像您的整個身份驗證和權限系統在當前實施中已損壞。解決這個問題的步驟對於這個答案來說太寬泛了。值得對該論壇和更廣泛的網絡進行一般搜索，以找到適合您的框架的解決方案（JSP，ASP.Net，PHP等）。大多數框架具有解決此問題的即用型功能。

一個好的開始就是OWASP的高級指南：操作安全性：管理接口。

快速的答案是肯定的。但這並不一定是您正在考慮的繁瑣工作。 （整個安全性可能很大，但這只是其中一部分）。您還有比這更嚴重的問題。

為什麼重要

您創建的任何內容都會受到嘗試破壞它的打擊。有人會很好奇。有人會做一些您從未想到的事情，而這違背了您的想法。有人會好奇，惡意或流鼻涕。

您還應該理會您的軟件/網絡應用 將通過自動化工具進行嚴格測試。擁有在線門戶（幾乎所有類型）的服務器在首次上線後的數十分鐘內就被黑客發現，並開始針對可能發生的任何安全漏洞或疏忽進行檢測。這意味著他們將探查“幕後”究竟在運行什麼，以及可被利用的任何可檢測到的失誤（在數據驗證，跨腳本驗證，SQL或二進制注入，JavaScript hacking，後端本身，什麼？強迫某些事情失敗，暴露哪些數據會導致弱點...）。

您的網絡服務器 將通過數百種（即使不是數千種）自動化工具，不斷地針對任何可能的Web代碼和後端失效進行探測。人類和用戶一樣，而不是人類。

您是希望這是遙不可及的，但會被評論家，媒體和憤怒的用戶強力引起您的注意，還是導致賠償責任？還是您想修復它？

如何解決它

從某種意義上說，這並不是一項艱鉅的工作。您創建一個安全框架，然後每個頁面導入或使用它。這樣做的概念並不難，並且有據可查。因此，頁面數量並不重要。

這項工作的困難之處在於安全性是困難。您真正的問題是，由於存在這些問題並且您正在問這些問題，所以您沒有足夠的希望去做，而無需幫助。說真的您。做。不是。

我不知道您擁有多少規模的團隊或資源。您需要它-在沒有外部幫助的情況下，您可能沒有希望。

我在這裡真正擔心的是

也就是說，我真正關心的不是網絡應用。

假設我正在考慮購買或使用您的應用。

這顯然無助於或使讀者放心，您顯然將安全性視為事後思考，對工作的干擾或事後的不便修復（或者至今為止對這種方式的理解不夠深），也許問題出在真正的基礎上，例如正確編碼按鈕URL 。

安全性是您的工作，因為無論產品/服務在技術上多麼出色，並且無論其用戶是誰，您的真實產品都是對您的信任和保證。您可以滿足我的需求，而不會給我造成重大災難。

我應該將我的數據信任您的應用程序嗎？現在，很抱歉，我想我也可以將其發佈在Google+上。是的，這是一種“糟糕”的情況和印象，而且這並沒有誇大其效。

對不起。

現在，如果您的應用程序有好處，請其他人參與。

您需要檢查 用戶權限級別，以每個請求（獲取，發布，放置，刪除）。瀏覽到頁面，例如您的情況是GET請求。未經許可，用戶也不應發布請求。

現在是否需要在應用程序的每個頁面上添加代碼取決於您的應用程序框架。例如，某些框架（Laravel，Express.JS）允許您對路由進行分組並為該路由的每個請求應用過濾器，這就是檢查的地方。對於純PHP的應用程序，您需要在每個頁面上都有代碼，可以使用“ include”語句來最大程度地減少整個代碼塊的重複。

之前已經說過，但是，是的，您應該在每個頁面上驗證用戶憑據。例如，如果您的站點使用PHP，則最簡單的方法是將登錄用戶及其特權級別保存在會話變量中，然後在代碼開頭對這些會話變量進行驗證。這些將在註銷（如果您創建註銷邏輯來擦除這些變量）或會話超時（可以定義超時時間，但我認為默認值為5分鐘的不活動時間）時擦除，因此未經授權的用戶不應能夠訪問頁面。其他技術將具有類似的處理方式。

我說這句話的意思並不是真的屈尊，所以希望您不要這麼認為，但這只是種基本信息。如果您在自學過程中以某種方式沒有學習到此內容，或者沒有遇到過這個問題，我強烈建議您注意這一點，並深入閱讀該特定主題，因為它非常重要。您將一次又一次地為任何類似的應用程序進行此操作。

請注意，有多種方法可以簡單有效地完成此任務，我個人對您的建議是按照自己的邏輯練習編碼，以便您完全理解它在嘗試使用框架之前有效。針對多種訪問方法進行測試，一旦感到滿意，就可以研究各種框架如何執行用戶會話處理。

編輯：我在下面的評論中對此進行了評論，但這實際上也是OP的良好資源： https://www.w3schools.com/ php / php_sessions.asp

無論用戶鍵入地址還是單擊鏈接，用戶都不能導航到頁面。

問題的通用解決方案是使用基於角色的訪問控制（ RBAC）方法。創建不同的組，並將具有相同特權的用戶分配給相應的組。同樣，將網頁和其他資源分組到不同的文件夾中；每個由特定組擁有。我使用 chgrp （更改組）在運行帶有輕量級Web服務器的嵌入式Linux的系統上實現了這一目標。通過放置.htaccess文件並拒絕訪問，如 Stack Overflow所述，可以在Apache Web服務器中實現相同的目的。

對於UI元素，您將創建不同的頁面（或通過組檢查隱藏元素）。您將需要識別用戶（登錄他們並確定他們對應的組），然後根據用戶的權限顯示網頁。

關於實現的快速建議，因為您對100頁的頁面有些擔心。例如，在ASP.NET MVC中，您可以創建一個全局過濾器或一個其他所有其他類都可以從其繼承的“基本”頁面。並將其與當前頁面的權限/許可/或組成員身份列表進行比較（可能是每個頁面上的數據結構或基於頁面名稱的數據庫查找等）。

其他答案非常籠統，因此我將其添加，因為提到了 JSP頁，因此我認為我可以假設您正在使用Java。

，您很可能可以使用過濾器在每次向應用程序發出請求時執行代碼。如果您使用像 Spring這樣的安全框架，則可以配置可能由誰訪問的URL。