如何避免横向越权

问答 / 461 / 10 / 创建于 1年前

1. 问题描述？

实际的应用场景中,经常会涉及到越权的问题,一般会在数据库中增加所属人或所属角色来控制操作范围,然后通过增加筛选条件来达到防止越权的情况
这样的话操作数据库模型,增删改查会越写越多
我现在想得到一些更简单的方法来实现防止越权

高延迟战神

8 声望

暂无个人描述~

0 人点赞

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

从小程序个人账户申请开始，带你一步步进行开发一个微信小程序，直到提交微信控制台上线发布。

推荐文章：

更多推荐...

博客

工作小锦囊系列——如何实现一个车辆预定功能（下） 13 / 15 |

博客

高效办公小技巧——如何批量处理 SQL 文件？ 19 / 10 |

博客

Redis 实用小技巧——如何实现一个排行榜功能 24 / 17 |

博客

经过代理如何获取真实IP 及 laravel 中配置可信代理的原理 16 / 1 |

博客

钱付了，订单还是未支付，用户炸了！——聊聊如何防止支付掉单！ 43 / 25 |

翻译

如何在 Laravel 中创建一个简单的事件流？ 28 / 18 |

讨论数量: 10

滚球兽进化

课程读者 312 声望

不会吧，我这边是查询出一个人的所有权限，然后缓存30s。校验权限就用对应的id和这个list进行映射，成功就可以访问，失败就不能访问。我们这也有2000+基本单位的操作权限点了。感觉也没啥影响呀。

1年前评论

滚球兽进化

课程读者 312 声望

你不会每个地方都写了对应的权限点的查询吧。我这边是封装成中间件。中间件传递需要校验的id，然后中间价里通过user_id 和 perm_id 调用对应的权限校验方法。没权限就直接拦截了

1年前评论

滚球兽进化

课程读者 312 声望

Route::get('/url-path', 'Contoller@action')->middleware("check-user-perm:1234");

1年前评论

JaguarJack

@zkf6944617 这是数据权限了，不是操作权限

高延迟战神（楼主）

那如果是这样的情况,我有一条订单订单,我如何防止别人改变了我的这一条订单记录呢

滚球兽进化（作者）

@zkf6944617 业务自行封装控制。

sanders

两种方案：如果全局不可见，就在中间件中用全局作用域加上条件 where('owner_id',auth()->id())；如果可见不能编辑，就用权限策略 Policy 进行控制。

如此甚好

76 声望

数据权限你当然是默认带着对应的id啊

1年前评论

__yu

62 声望 / 热带程序猿 @ S.H.I.E.L.D.

权限和防止越权写在策略中去控制

1年前评论

MArtian

版主 3.1k 声望

Policy 了解一下

1年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

如何避免横向越权

1. 问题描述？

推荐文章：

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

如何避免横向越权

1. 问题描述？

推荐文章：

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

请登录