Yoo趣儿 › 探索分享 › 问与答 › 权限管理这块怎么限制传参？

权限管理这块怎么限制传参？

查看 63|回复 5

作者：PerFectTime 发布时间：2023-10-11 09:00:29

比如两个角色，一个管理员，一个用户。
他们都有/userinfo?id=xxx 这个接口的权限，
管理员可以查询任何人，所以对 xxx 没有限制，用户只能查询他的同级，xxx 的范围是他的同级，如何防止用户知道管理员 id 后查管理员的信息？

管理员, XXX, 权限, 同级

相关帖子

xomix 2023-10-11 09:00:59

换个思路，不应该限制传参，应该限制返回参数。知道参数又如何，接口不给你返回你想要的数据

jaredyam 2023-10-11 09:01:52

@PerFectTime 这样的话要加一堆判断逻辑啊，我是想用 casbin 来控制，但是 casbin 只能控制接口

bhbhxy 2023-10-11 09:02:50

实现方法很多，最简单的就是你听过 API Gateway 吗？他就可以用来做这个。

xomix 2023-10-11 09:03:21

if (id not in xxx) { return EMPTY; }?

xomix 2023-10-11 09:03:59

header 中携带 token 信息，后台接收到 token 后判断角色，管理员角色返回所有数据，用户返回限制后的数据，如果用户查询的 id 不是其同级，返回无权限或者找不到数据的提示

AD1

热门主题

热门板块

问与答分享发现分享创造奇思妙想分享邀请码商业推广优惠信息 Python PHP Java JavaScript Node.js Go语言 C++HTML

公告

返回顶部