比如我一个页面的增删改查,我岂不是都要手动加这几个权限,还有比如我们都有修改权限,别人修改的时候篡改了自己提交的id值就可以把别人的内容修改了,这种又要怎么防止呢
你这是两个问题
第一个问题:必须手动添加,不然谁知道你有什么链接了
第二个问题:你自己要做好业务判断,这个id是不是属于某个人的,当前登录人的uid 你是知道了
由于session是存在服务端的,所以可以使用session固定角色,与角色对应的权限就相对固定了,哪怕你篡改ID,可以每次监听session字段的用户信息,对比当前传入的信息,有变化就去登录,这样就防止了权限篡改,至于第一个方法,直接判断模型和控制器,不去管action,可以实现一定程度上的伪打包功能,但是那样很不安全,所以最好每个权限对应到action,这样,无论用户哪个操作都可以精细的控制到了。