验证用户是不是管理员是不是多余的
@RequestMapping("add_category.do")
@ResponseBody
public ServerResponse addCategory(HttpSession session,String categoryName,@RequestParam(value = "parentId",defaultValue = "0") int parentId){
User user = (User)session.getAttribute(Const.CURRENT_USER);
if(user == null){
return ServerResponse.createByErrorCodeMessage(ResponseCode.NEED_LOGIN.getCode(),"用户未登录,请登录");
}
//校验一下是否是管理员
if(iUserService.checkAdminRole(user).isSuccess()){
//是管理员
//增加我们处理分类的逻辑
return iCategoryService.addCategory(categoryName,parentId);
}else{
return ServerResponse.createByErrorMessage("无权限操作,需要管理员权限");
}
}添加品类的前提是session中用户存在并且是管理员,而判断用户是不是管理员是由UserManagerController完成。
后面这段校验管理员的无论user 是否为 null都不会被执行?!
如果user != null, 说明已经登录,UserManagerController校验user是不是管理员。无存在意义。
user == null,存在两种情况
2.1 用户一开始就未登录
2.2 session信息过期
这两种情况在发送add_category.do请求的时候,return status = 10 强制登录。校验管理员代码不会被执行。
843
收起
正在回答
2回答
有意义的,user !=null 不能代表user是管理员
2. 强制登录是登录
简单来说 第一步校验是否登录 第二步校验是否是管理员,只有管理员才能执行。
这里必须考虑纵向越权的问题
寻水的鱼回答的很对
0
有任何疑惑可以回复我~
寻水的鱼丶
2017-11-07 17:45:00
相似问题
= =管理员老是不让我进群
646
0
4
老师 关于用户登陆问题
740
0
2
对于系统管理员的疑问
915
0
7
校验是否是管理员,这个校验写在controller里不可以么?
778
0
8
如果后台管理员和前端用户是两个表这时候改如何做jwt认证?
1205
0
3
登录后可查看更多问答,登录/注册
