比如对于管理员可以看到全部数据,对于其他觉得有的只能看到本部门的用户,有的人只能看到自己创建的用户?这个咋设计?我现在是用类型判断,前台传type 然后根据不同type查询 ,一个low。。。一个不安全。。,很容易模仿。虽然用shiro做了按钮级别的权限 无法操作,但是始终不好。
额。。。。。叫兽。
不好搞吧
但是这个也很正常啊 这个需求 比如对于不同地区的 ,一般只能看到本地区的,不能看上级地区的数据,如果简单的根据type区分 这个太容易伪造了。
后台通过用户信息获取type, 不依赖前端传过来的数据
我也想到了,只是觉得有点麻烦 也只能这么做了。
数据权限属于业务逻辑的一部分, 只能用代码实现