                        課程
                    
                        /后端開發(fā)
                        
                            /PHP
                        
                        /RBAC打造通用web管理權(quán)限

請問每個權(quán)限都需要手動增加嗎？

比如我一個頁面的增刪改查，我豈不是都要手動加這幾個權(quán)限，還有比如我們都有修改權(quán)限，別人修改的時候篡改了自己提交的id值就可以把別人的內(nèi)容修改了，這種又要怎么防止呢

牛教授

2017-03-28

源自：RBAC打造通用web管理權(quán)限 4-9

關(guān)注問題我要回答

1552

操作

收起

2 回答

編程浪子
2017-04-14

你這是兩個問題

第一個問題：必須手動添加，不然誰知道你有什么鏈接了

第二個問題：你自己要做好業(yè)務(wù)判斷，這個id是不是屬于某個人的，當(dāng)前登錄人的uid ?你是知道了

0 回復(fù) 有任何疑惑可以回復(fù)我~

收起回答

木上草
2017-03-28

由于session是存在服務(wù)端的，所以可以使用session固定角色，與角色對應(yīng)的權(quán)限就相對固定了，哪怕你篡改ID，可以每次監(jiān)聽session字段的用戶信息，對比當(dāng)前傳入的信息，有變化就去登錄，這樣就防止了權(quán)限篡改，至于第一個方法，直接判斷模型和控制器，不去管action，可以實現(xiàn)一定程度上的偽打包功能，但是那樣很不安全，所以最好每個權(quán)限對應(yīng)到action，這樣，無論用戶哪個操作都可以精細(xì)的控制到了。