请稍等 ...
×

采纳答案成功!

向帮助你的同学说点啥吧!感谢那些助人为乐的人

管理员权限判定

老师
权限判定有三个问题
1、如图
图片描述
图片描述
已经在Controller 做了User的非空判断,为什么在service还要做一次?

2、校验权限时,是直接利用session中数据的 role 字段,会不会被篡改,一个普通用户权限改成 1 管理员
有没有必要,根据session中的currentuser 的id ,name查找他数据库中的权限,来校验权限?

3、checkAdmin()作为service层的方法,返回值给controller,不回传给前端,我能不能返回值不传ServerResponse ,就简单的传个true和false?
三又十二分之四 2019-07-22 18:31:31
源自:7-2  添加分类和更新分类名字功能开发
660
收起

正在回答 回答被采纳积分+3

1回答

geelylucky 2019-07-22 20:11:48

  1. 因为checkAdmin是复用的,所以你不能保证所有调用的方法都会提前做判断,所以作为独立的功能,它就不能依赖调用者。

  2. 这个要看具体的实现原理,假如只在session存储一个userId,就需要通过这个userId查询数据库来验证权限,假如把整个用户实体包括权限存储进session,那就不需要再次查询,前提是用户信息保证同步的情况下。

  3. 这个要看你自己的实现,逻辑说的通都是可以的。

0 回复 有任何疑惑可以回复我~
收起回答
  • 提问者 三又十二分之四 #1 
    1 . 的意思是,在除了addCategory( )的方法中可能调用到checkAdmin,但可能其他方法本身不会有空判断,所以,checkAdmin自己必要有。 如果只对addCategory() 方法,这里有一个空判断就是够的对吗?

2. 保证信息同步:是指这个用户数据库权限更新了,但是浏览器session可能还没更新的意思吗?

3.理解了。
    回复 有任何疑惑可以回复我~ 2019-07-22 21:46:15
取消 回复

相似问题

对于系统的疑问
694 0 7
超级问题
362 0 3
关于重写系统,有劳bobby老师解惑,谢谢!
624 0 5
验证流程逻辑存在疑惑
228 0 5
老师好!超级模块下的账号中顾客,店家,没有取到信息
777 0 7

登录后可查看更多问答,登录/注册

问题已解决,确定采纳
还有疑问,暂不采纳
从0开始 独立完成企业级Java电商网站服务端开发
  • 参与学习       9439    人
  • 解答问题       8793    个

前后端分离,数据库接口设计,架构设计,功能开发,上线运维

了解课程

本课精华内容

问答

源配置能干嘛?它的作用是啥?目的又是什么?为什么这么配置?

9.5k 10

老师为什么我的阿里云远程就连不进去 改了安全组也不行

1.7k 22

【upload.do】504 (剧终,解决办法看下面我的最新一条评论)

1.3k 21

Could not get JDBC Connection无法登录了

2.1k 21

这是怎么回事前面GIT命令和maven执行不了

1.8k 18

查看更多本课问答
意见反馈 帮助中心 APP下载
官方微信