Laravel
话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册

如何避免横向越权

问答 / 1 / 10 / 创建于 2年前

1. 问题描述?

实际的应用场景中,经常会涉及到越权的问题,一般会在数据库中增加所属人或所属角色来控制操作范围,然后通过增加筛选条件来达到防止越权的情况
这样的话操作数据库模型,增删改查会越写越多
我现在想得到一些更简单的方法来实现防止越权

高延迟战神
10 声望
暂无个人描述~
《L05 电商实战》
《L05 电商实战》
从零开发一个电商项目,功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等
《L04 微信小程序从零到发布》
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
讨论数量: 10
排序:
时间 投票
我们只希望世界和平
课程读者 368 声望

不会吧,我这边是查询出一个人的所有权限,然后缓存30s。校验权限就用对应的id和这个list进行映射,成功就可以访问,失败就不能访问。我们这也有2000+基本单位的操作权限点了。感觉也没啥影响呀。

2年前 评论
我们只希望世界和平
课程读者 368 声望

你不会每个地方都写了对应的权限点的查询吧。我这边是封装成中间件。中间件传递需要校验的id,然后中间价里通过user_id 和 perm_id 调用对应的权限校验方法。没权限就直接拦截了

2年前 评论
我们只希望世界和平
课程读者 368 声望 
Route::get('/url-path', 'Contoller@action')->middleware("check-user-perm:1234");
2年前 评论
JaguarJack 2年前
@zkf6944617 这是数据权限了,不是操作权限
高延迟战神 (楼主) 2年前
那如果是这样的情况,我有一条订单订单,我如何防止别人改变了我的这一条订单记录呢
我们只希望世界和平 (作者) 2年前
@zkf6944617 业务自行封装控制。
sanders 2年前
两种方案:如果全局不可见,就在中间件中用全局作用域加上条件 where('owner_id',auth()->id());如果可见不能编辑,就用权限策略 Policy 进行控制。
如此甚好
97 声望

数据权限你当然是默认带着对应的id啊

2年前 评论
__yu
64 声望 / 热带程序猿 @ S.H.I.E.L.D.

权限和防止越权写在策略中去控制

2年前 评论
MArtian
版主 3.8k 声望

Policy 了解一下

2年前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
高延迟战神 10 声望
TA 的博客
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消