如何避免横向越权

1. 问题描述?

实际的应用场景中,经常会涉及到越权的问题,一般会在数据库中增加所属人或所属角色来控制操作范围,然后通过增加筛选条件来达到防止越权的情况
这样的话操作数据库模型,增删改查会越写越多
我现在想得到一些更简单的方法来实现防止越权

《L01 基础入门》
我们将带你从零开发一个项目并部署到线上,本课程教授 Web 开发中专业、实用的技能,如 Git 工作流、Laravel Mix 前端工作流等。
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
讨论数量: 10

不会吧,我这边是查询出一个人的所有权限,然后缓存30s。校验权限就用对应的id和这个list进行映射,成功就可以访问,失败就不能访问。我们这也有2000+基本单位的操作权限点了。感觉也没啥影响呀。

1年前 评论

你不会每个地方都写了对应的权限点的查询吧。我这边是封装成中间件。中间件传递需要校验的id,然后中间价里通过user_id 和 perm_id 调用对应的权限校验方法。没权限就直接拦截了

1年前 评论
Route::get('/url-path', 'Contoller@action')->middleware("check-user-perm:1234");
1年前 评论
JaguarJack 1年前
高延迟战神 (楼主) 1年前
滚球兽进化 (作者) 1年前
sanders 1年前

数据权限你当然是默认带着对应的id啊

1年前 评论
__yu

权限和防止越权写在策略中去控制

1年前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!