请稍等 ...
×

采纳答案成功!

向帮助你的同学说点啥吧!感谢那些助人为乐的人

管理员权限判定

老师
权限判定有三个问题
1、如图
图片描述
图片描述
已经在Controller 做了User的非空判断,为什么在service还要做一次?

2、校验权限时,是直接利用session中数据的 role 字段,会不会被篡改,一个普通用户权限改成 1 管理员
有没有必要,根据session中的currentuser 的id ,name查找他数据库中的权限,来校验权限?

3、checkAdmin()作为service层的方法,返回值给controller,不回传给前端,我能不能返回值不传ServerResponse ,就简单的传个true和false?
三又十二分之四 2019-07-22 18:31:31
源自:7-2  添加分类和更新分类名字功能开发
909
收起

正在回答 回答被采纳积分+3

插入代码

提交 取消

1回答

geelylucky 2019-07-22 20:11:48

  1. 因为checkAdmin是复用的,所以你不能保证所有调用的方法都会提前做判断,所以作为独立的功能,它就不能依赖调用者。

  2. 这个要看具体的实现原理,假如只在session存储一个userId,就需要通过这个userId查询数据库来验证权限,假如把整个用户实体包括权限存储进session,那就不需要再次查询,前提是用户信息保证同步的情况下。

  3. 这个要看你自己的实现,逻辑说的通都是可以的。

0 回复 有任何疑惑可以回复我~
收起回答
  • 提问者 三又十二分之四 #1 
    1 . 的意思是,在除了addCategory( )的方法中可能调用到checkAdmin,但可能其他方法本身不会有空判断,所以,checkAdmin自己必要有。 如果只对addCategory() 方法,这里有一个空判断就是够的对吗?

2. 保证信息同步:是指这个用户数据库权限更新了,但是浏览器session可能还没更新的意思吗?

3.理解了。
    回复 有任何疑惑可以回复我~ 2019-07-22 21:46:15
取消 回复

相似问题

对于系统的疑问
981 0 7
超级问题
531 0 3
关于重写系统,有劳bobby老师解惑,谢谢!
785 0 5
验证流程逻辑存在疑惑
482 0 5
验证用户是不是是不是多余的
893 1 4

登录后可查看更多问答,登录/注册

问题已解决,确定采纳
还有疑问,暂不采纳
从0开始 独立完成企业级Java电商网站服务端开发
  • 参与学习       9485    人
  • 解答问题       8811    个

前后端分离,数据库接口设计,架构设计,功能开发,上线运维

了解课程

本课精华内容

问答

源配置能干嘛?它的作用是啥?目的又是什么?为什么这么配置?

10.6k 10

老师为什么我的阿里云远程就连不进去 改了安全组也不行

2.0k 22

【upload.do】504 (剧终,解决办法看下面我的最新一条评论)

1.6k 21

Could not get JDBC Connection无法登录了

2.4k 21

这是怎么回事前面GIT命令和maven执行不了

2.2k 18

查看更多本课问答
微信客服

购课补贴
联系客服咨询优惠详情

 帮助反馈 APP下载

慕课网APP
您的移动学习伙伴

 公众号

扫描二维码
关注慕课网微信公众号