Menu

3.7. 权限控制

说明

现在的应用存在两个巨大的安全隐患:

  1. 未登录用户可以访问 editupdate 动作,如果你退出登录,以游客身份访问 http://larabbs.test/users/1/edit

file

  1. 登录用户可以更新其它用户的个人信息,如果我们再次注册一个用户:

file

数据库里查看到我们新注册的用户 aufree ,ID 为 2:

file

此时如果再次访问 http://larabbs.test/users/1/edit

file

登录状态的 2 号用户 Aufree 居然可以访问 1 号用户 Summer 的...

本文章首发在 Laravel China 社区

为了保证课程的高品质,我们需要对课程进行收费。付费后 才能观看剩余内容。 购买

上一篇 下一篇
讨论数量: 12

bignose
做点笔记,总结要点
20 个点赞 | 3 个回复 | 分享
LL
优化 authorize 页面
4 个点赞 | 11 个回复 | 分享
迷路中的Ac
报错求助?
1 个点赞 | 6 个回复 | 问答
Yang
关于权限控制方式的思考?
1 个点赞 | 17 个回复 | 问答
airsa
权限验证无效?
0 个点赞 | 2 个回复 | 问答
qianfan
_Fairy
sachu
两个 use HandlesAuthorization?
0 个点赞 | 1 个回复 | 问答
jollyson
为什么没有经过权限认证呢?
0 个点赞 | 8 个回复 | 问答
刻意练习,每日精进。
32
点赞
8280
浏览
12
讨论

作者