初學java,正在用springboot寫一個小專案。
安全框架用的是shiro,由于太菜,碰到一個問題:
get請求訪問路徑“localhost:8080/user/1”可以進入1號用戶的后臺管理頁面,但不止1號用戶,只要地址欄輸入這個路徑所有人都能進1號用戶的后臺管理頁面。首先想到的方法當然是授權,給/user/1添加授權規則,只有1號用戶可以訪問,但仔細想想這根本解決不了問題,資料庫中這么多用戶,總不能一個個添加授權規則吧。于是又想到根據請求方式不同來處理,只有post請求“localhost:8080/user/1”才能進后臺管理,但post請求可以通過一些方法發出來,這是巨大的漏洞,果斷排除這個方法。
思考了很久,也想不出來怎樣解決,讓各位大佬見笑了,真心求教
uj5u.com熱心網友回復:
可以設計個權限表和用戶權限關系表,當用戶請求進來的時候判斷該用戶是否有某項權限,如果有繼續訪問,如果沒有做其他處理。uj5u.com熱心網友回復:
實際生產中就是要為每個用戶配角色權限的。轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/263988.html
標籤:Web 開發
下一篇:無法應用