关于NutzWk-4.0.6，越权访问的问题 - Nutz社区

社区大大，你好，想跟你请教个问题：
最近看到NutzWk-4.0.6，非常给力，在使用测试过程中，发现一个越权访问的问题，
新建一个用户，没有任何权限，
但新开启一个窗口，直接访问如：http://127.0.0.1:8080/nutzwk/platform/sys/unit，也能访问，这个私以为是一个BUG，是否要加上权限控制？该怎么加？

大鲨鱼(Wizzercn)

1楼•2581天前

....这个不是越权，是你在同一个浏览器登录过，seesion没失效。

qq_d8ccf0de 2楼•2581天前

我已经注销了superadmin了,
使用的是新的测试用户test1，这时候session应该销毁重建了吧？

大鲨鱼(Wizzercn)

3楼•2581天前

哦，不对，这里列表页面，都是加了登录验证，，只能浏览，不能提交数据的，不信你试试？

qq_d8ccf0de 4楼•2581天前

额...列表页面能看到，也比较尴尬....

大鲨鱼(Wizzercn)

5楼•2581天前

比如 /platform/sys/unit 这个控制类的index方法，
你可以把@RequiresAuthentication 改成 @RequiresPermissions("sys.manager.unit")

这样就可以了。

qq_d8ccf0de 6楼•2581天前

好滴，我去试试，谢谢，Wizzercn大

大鲨鱼(Wizzercn)

7楼•2580天前

@qq_d8ccf0de https://github.com/Wizzercn/NutzWk/commit/79d51173d6b50fb82904ed3991d51aed50d8eccc
已批量修改。

请先登陆

回到顶部