4.8. 授权访问

问题说明

现在的应用存在两个巨大的安全隐患:

  1. 未登录用户可以访问 editupdate 动作,如果你退出登录,以游客身份访问 http://larabbs.test/users/1/edit

file

  1. 登录用户可以更新其它用户的个人信息,登录 Summer 用户然后访问 Monkey 用户的编辑资料页面 http://larabbs.test/users/2/edit

file

登录状态的 1 号用户 Summer 居然可以访问 2 号用户 Monkey 的个人编辑页面,甚至是修改内容。

接下来让我们针对这两个安全隐患进行修复。

限制游客访问

Laravel 中间件 (Middleware) 为我们提供了一种非常棒的...

本文章首发在 LearnKu.com 网站上。

为了保证课程的高品质,我们需要对课程进行收费。付费后 才能观看剩余内容。 购买

上一篇 下一篇
《L01 基础入门》
我们将带你从零开发一个项目并部署到线上,本课程教授 Web 开发中专业、实用的技能,如 Git 工作流、Laravel Mix 前端工作流等。
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
讨论数量: 5

Geekc
Policy 授权一直未通过
0 个点赞 | 3 个回复 | 问答 | 课程版本 5.8
dokiss
在生成 policy 之前,用户 1 更新用户 2 的信息
0 个点赞 | 2 个回复 | 问答 | 课程版本 5.7
hehorange
第二种已经包含了第一种
0 个点赞 | 0 个回复 | 问答 | 课程版本 5.7