权限管理这块怎么限制传参?

查看 65|回复 5
作者:PerFectTime   
比如两个角色,一个管理员,一个用户。
他们都有/userinfo?id=xxx 这个接口的权限,
管理员可以查询任何人,所以对 xxx 没有限制,用户只能查询他的同级,xxx 的范围是他的同级,如何防止用户知道管理员 id 后查管理员的信息?

管理员, XXX, 权限, 同级

xomix   
换个思路,不应该限制传参,应该限制返回参数。知道参数又如何,接口不给你返回你想要的数据
jaredyam   
@PerFectTime 这样的话要加一堆判断逻辑啊,我是想用 casbin 来控制,但是 casbin 只能控制接口
bhbhxy   
实现方法很多,最简单的就是你听过 API Gateway 吗?他就可以用来做这个。
xomix   
if (id not in xxx) { return EMPTY; }?
xomix   
header 中携带 token 信息,后台接收到 token 后判断角色,管理员角色返回所有数据,用户返回限制后的数据,如果用户查询的 id 不是其同级,返回无权限或者找不到数据的提示
您需要登录后才可以回帖 登录 | 立即注册

返回顶部