1
Septembers 2015-04-16 07:41:30 +08:00 via Android
无权访问应当响应401 Unauthorized
|
2
Septembers 2015-04-16 07:44:37 +08:00 via Android
权限系统 纵横的 不仅要垂直权限 也需要设计水平权限
你的提问中明显可以看出没有水平权限的设计 |
3
babyname 2015-04-16 07:48:05 +08:00 via iPhone 1
最简单的 如果是私有 不考虑用户角色和组的情况下,对比资源作者和登录用户是否匹配
|
4
p1n3 2015-04-16 08:23:50 +08:00 via iPhone
这个懒偷不得的,在 /topic/1 验证当前登陆用户的session
|
5
caixiexin 2015-04-16 09:06:15 +08:00 1
一直以来开发都是用文章里的“修复方案2”,这好像比较符合开发的习惯性思维.
还有文章里的“修复方案3”用token的方式,如果是网页的ajax或表单请求,token=md5(addressId+sessionId+key)这个生成方式应该是暴露在前端的js中的吧,那如果addressId还是自增id的形式,这个生成token好像没啥意义,知道生成方式后一样改个addressId生成token,是不是也能通过token校验? |
6
yakczh 2015-04-16 09:13:46 +08:00
权限设置是集中到一个配置文件好呢,还是象yii那样分散到每个action里面好呢?
|
7
jedrek OP @caixiexin 方案3还是有值得思考的地方的,暴露是一个。另一种情况是已经登录的情况下,直接在url中访问属于当前用户的另一个资源,那这个addressId就没有了,也就访问不到了。
|
8
caixiexin 2015-04-16 09:32:37 +08:00
@jedrek 我觉得想利用漏洞的人,应该不会仅限于改个url,最起码也会F12看下js里的认证逻辑嘛。不是有句话叫:“用户永远是最不安全不可控的一个环节”:)
|
10
otakustay 2015-04-16 12:30:26 +08:00 via iPhone
权限本来就是一种业务啊,当然会带到业务中来
|