Я не совсем понимаю, что вы подразумеваете под «быть в безопасности», я хотел бы каждый раз проверять информацию ». Что такое «информация», за пределами токена вы намерены «проверить»? Это должно быть излишним: если пользователь дает токен, который вы, например, узнаете от IP-адреса, который вы ему выдали, дальнейшая проверка не требуется.
Что касается второго вопроса, в любом приложении MVC всегда будет сказано «несколько предварительных предварительных условий»: получение строки URL (и любых параметров GET/POST), убедившись, что они как ожидалось, и, да, подтверждать токен сеанса, чтобы быть уверенным в том, что оно действительно и (b), что идентифицированный таким образом пользователь имеет право сделать этот запрос. Если это не так, запрос может быть выгружен с помощью 403 Forbidden
или аналогичного ответа: нет причин для продолжения.
Таким образом, если и когда «реальный» контроллер делает, то получить переданный запрос, может считаться само собой разумеющимся, что запрос (по-видимому) хорошо сформирован и разрешен. (Или, по крайней мере, , прошедший проверку подлинности:, на данный момент запросчик имеет «проверенную и заслуживающую доверия идентификацию».)
Вы пробовали что-нибудь? рассмотрите размещение образца кода. – Augwa
Да, управление доступом обычно выполняется во время процесса начальной загрузки с использованием выделенного контроллера. – rjdown
. Я не совсем понимаю, что вы подразумеваете под «быть в безопасности», я хотел бы каждый раз проверять информацию ». * Какая * «информация», за пределами токена сеанса, вы намерены «проверить»? –