问答详情
源自:4-9 权限控制流程

请问每个权限都需要手动增加吗?

比如我一个页面的增删改查,我岂不是都要手动加这几个权限,还有比如我们都有修改权限,别人修改的时候篡改了自己提交的id值就可以把别人的内容修改了,这种又要怎么防止呢

提问者:牛教授 2017-03-28 00:01

个回答

  • 编程浪子
    2017-04-14 13:57:29

    你这是两个问题

    第一个问题:必须手动添加,不然谁知道你有什么链接了

    第二个问题:你自己要做好业务判断,这个id是不是属于某个人的,当前登录人的uid  你是知道了

  • 木上草
    2017-03-28 10:10:24

    由于session是存在服务端的,所以可以使用session固定角色,与角色对应的权限就相对固定了,哪怕你篡改ID,可以每次监听session字段的用户信息,对比当前传入的信息,有变化就去登录,这样就防止了权限篡改,至于第一个方法,直接判断模型和控制器,不去管action,可以实现一定程度上的伪打包功能,但是那样很不安全,所以最好每个权限对应到action,这样,无论用户哪个操作都可以精细的控制到了。