用户权限BUG,用户可以访问没有被授权的功能
本帖最后由 jjch99 于 2014-7-19 10:21 编辑1、从角色【普通用户】的权限中删除【系统日志】功能
2、新增用户test,角色为【普通用户】。
3、用test用户登录系统
4、通过Fiddler工具直接向服务器提交请求【http://xxx.xxx.xxx.xxx:8080/jeec ... grid&field=loglevel,id,logcontent,note,broswer,operatetime,】,服务器正常返回了日志查询结果数据。按权限配置test用户应该不能有查询日志的权限。
说明框架里的权限配置只是简单的控制了入口菜单的显示,而并没有真正做到对非法访问的拦截控制,这样的效果在企业级应用里肯定是满足不了要求的。 没人注意到这个问题? 其他的按钮权限呢?就是在权限配置里出现的选项 顶一个。。。不晓得有没其他正正做到权限控制的东西。。 这是因为之前的shortcutFunctionMap未清空造成,只要在LoginController中的checkuser方法中的用户名和密码验证成功的地方加上后面的一句就可以了shortcutFunctionMap=null;
页:
[1]