求助url权限问题
有个问题一直郁闷,想不出好办法,权限问题
登录用户A 有新增权限
登录用户B 有删除权限
现在如果A知道删除的那个url,且他已登录,那么他直接用url操作,配对了参数是可以有删除权限的
,就是怎么着 能限制登录用户的url权限,加拦截器判断,一个一个验证,不大好啊,有高手搞过吗
------解决方案--------------------调用删除的时候,判断下当前用户的权限或者权限组是否能执行吧
------解决方案--------------------用自定义标签进行权限设定吧,
------解决方案--------------------当然要一项一项地验证权限,否则知道地址谁都可以操作怎么行
------解决方案--------------------把权限放到一张表里面。在view层显示数据的时候,只查询在权限表里面的权限进行拼接。
------解决方案--------------------网上很多这个例子的,直接权限,角色,功能,登录的时候读出自己的权限,页面直接显示出来自己的权限,当然执行的时候后台也会判断是否有执行的权限
------解决方案--------------------权限的判断再加一层:在进行删除操作的时候,也进行权限的判断。
实际上这个操作很简单的,登录的时候,把权限写入session中,操作的时候都做权限的判断。