用户在没有import(按钮)权限时依然可以在url中进入完成导入员工的操作
来源:8-13 业务落地:创建功能受控指令
Kandy
2022-08-27
背景:test账号,分配了“员工”角色,分配了“员工管理”列表权限,但没有分配“导入员工”权限。
过程:登录账号test, 进入员工管理列表,虽然没有“excel导入”按钮,但是在浏览器输入:http://localhost:8080/#/user/import 依然可以进入路由页面,成功导入员工。
总结:永远不要相信客户端请求的数据。任何请求,都要在后端二次验证一次用户的权限,再数据操作。
写回答
1回答
-
Sunday
2022-08-28
你好
这是因为我们没有在页面权限(一级权限)处拆分《导入用户》和《用户管理》的问题。现在在一级权限处,只要拥有《用户管理》权限,那么就表示可以进入到所有 userManage 路由对象下的页面。
如果从业务中单独拆分《导入用户权限》,那么可以在routes 路由表中,把 import 页面从 userManage 父节点中拆分出来。
112022-08-28
相似问题