4.8. 授权访问

问题说明

现在的应用存在两个巨大的安全隐患:

  1. 未登录用户可以访问 editupdate 动作,如果你退出登录,以游客身份访问 larabbs.test/users/1/edit

file

  1. 登录用户可以更新其它用户的个人信息,登录 Summer 用户然后访问 Monkey 用户的编辑资料页面 larabbs.test/users/2/edit

file

登录状态的 1 号用户 Summer 居然可以访问 2 号用户 Monkey 的个人编辑页面,甚至是修改内容。

接下来让我们针对这两个安全隐患进行修复。

<...>

本文章首发在 LearnKu.com 网站上。

为了保证课程的高品质,我们需要对课程进行收费。付费后 才能观看剩余内容。 购买

上一篇 下一篇
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
讨论数量: 16

bignose
做点笔记,总结要点
22 个点赞 | 2 个回复 | 分享 | 课程版本 5.5
LL
优化 authorize 页面
5 个点赞 | 13 个回复 | 分享 | 课程版本 5.5
chihokyo
[图解]『L02 Laravel 进阶教程』 第三章 用户模块 逻辑图
3 个点赞 | 1 个回复 | 分享 | 课程版本 5.5
Yang
关于权限控制方式的思考?
1 个点赞 | 17 个回复 | 问答 | 课程版本 5.5
迷路中的Ac
报错求助?
1 个点赞 | 6 个回复 | 问答 | 课程版本 5.5
sinmu
分享`$this->middleware('auth',['except'=>['show']]);`的理解
1 个点赞 | 0 个回复 | 分享 | 课程版本 8.x
jollysone
为什么没有经过权限认证呢?
0 个点赞 | 8 个回复 | 问答 | 课程版本 5.5
Angle
权限控制编辑自己的个人资料提示未授权?
0 个点赞 | 3 个回复 | 问答 | 课程版本 5.5
TigerLin
权限验证无效?
0 个点赞 | 3 个回复 | 问答 | 课程版本 5.5
qianfan
用户未登录,是怎么调转到登录页面的?
0 个点赞 | 3 个回复 | 问答 | 课程版本 5.5
_Fairy
请教一个关于策略方法第一个参数的问题?
0 个点赞 | 1 个回复 | 问答 | 课程版本 5.5
sachu
两个 use HandlesAuthorization?
0 个点赞 | 1 个回复 | 问答 | 课程版本 5.5
KangJian
注册表单验证码不显示是什么原因有大佬知道吗?
0 个点赞 | 0 个回复 | 问答 | 课程版本 5.5