Menu

4.8. 授权访问

问题说明

现在的应用存在两个巨大的安全隐患:

  1. 未登录用户可以访问 editupdate 动作,如果你退出登录,以游客身份访问 http://larabbs.test/users/1/edit

file

  1. 登录用户可以更新其它用户的个人信息,登录 Summer 用户然后访问 Monkey 用户的编辑资料页面 http://larabbs.test/users/2/edit

file

登录状态的 1 号用户 Summer 居然可以访问 2 号用户 Monkey 的个人编辑页面,甚至是修改内容。

接下来让我们针对这两个安全隐患进行修复。

限制游客访问

Laravel 中间件 (Middleware) 为我们提供了一种非常棒的过滤机制来过滤进入应用的 HTTP 请求,例...

本文章首发在 Laravel China 社区

为了保证课程的高品质,我们需要对课程进行收费。付费后 才能观看剩余内容。 购买

上一篇 下一篇
讨论数量: 1

dokiss
在生成 policy 之前,用户 1 更新用户 2 的信息
0 个点赞 | 1 个回复 | 问答 | 课程版本 5.7
刻意练习,每日精进。
2
点赞
590
浏览
1
讨论

作者