requestに認証をかける
脆弱性がある方法
reqestに、userIdを持たせて送る
serverでは、そのuserIdを使って処理する
問題
CLIからAPIを打てば、他者のuserIdを任意に設定可能
なので、任意のuserの情報を書き換えられる
どうするか
requestにはuserIdを持たせない
requestには、cookieやtoken管理におけるID Tokenなどを持たせる server側の処理でuserIdが必要な場合は、このTokenから取り出す
CLIからAPIを打つときに、ID Tokenを生成できないので、安全
GETの場合も同様
ログイン済みのユーザーしか見れないはずのデータを取得できてしまう
それをserver側の処理に書けばいい