关注JEECG发展历程 关注最新动态和版本, 记录JEECG成长点滴 更新日志 - 技术支持 - 招聘英才

JEECG最新版本下载 JEECG智能开发平台 - 显著提高开发效率 常见问题 - 入门视频 - 参与开源团队

商务QQ: 69893005、418799587 商务热线(5*8小时): 010-64808099 官方邮箱: jeecgos@163.com

查看: 17280|回复: 4

[环境搭建] 用户权限BUG,用户可以访问没有被授权的功能

[复制链接]
发表于 2014-7-17 16:48:46 | 显示全部楼层 |阅读模式
本帖最后由 jjch99 于 2014-7-19 10:21 编辑

1、从角色【普通用户】的权限中删除【系统日志】功能
2、新增用户test,角色为【普通用户】。
3、用test用户登录系统
4、通过Fiddler工具直接向服务器提交请求【http://xxx.xxx.xxx.xxx:8080/jeec ... grid&field=loglevel,id,logcontent,note,broswer,operatetime,】,服务器正常返回了日志查询结果数据。按权限配置test用户应该不能有查询日志的权限。

说明框架里的权限配置只是简单的控制了入口菜单的显示,而并没有真正做到对非法访问的拦截控制,这样的效果在企业级应用里肯定是满足不了要求的。
 楼主| 发表于 2014-7-19 10:24:40 | 显示全部楼层
没人注意到这个问题?
发表于 2014-8-2 10:27:29 | 显示全部楼层
其他的按钮权限呢?就是在权限配置里出现的选项
发表于 2014-8-7 13:18:33 | 显示全部楼层
顶一个。。。不晓得有没其他正正做到权限控制的东西。。
发表于 2014-12-5 15:44:27 | 显示全部楼层
这是因为之前的shortcutFunctionMap未清空造成,只要在LoginController中的checkuser方法中的用户名和密码验证成功的地方加上后面的一句就可以了shortcutFunctionMap=null;
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表