NutzCN Logo
问答 关于NutzWk-4.0.6,越权访问的问题
发布于 2832天前 作者 qq_d8ccf0de 1961 次浏览 复制 上一个帖子 下一个帖子
标签: nutzwk

社区大大,你好,想跟你请教个问题:
最近看到NutzWk-4.0.6,非常给力,在使用测试过程中,发现一个越权访问的问题,
新建一个用户,没有任何权限,
但新开启一个窗口,直接访问如:http://127.0.0.1:8080/nutzwk/platform/sys/unit,也能访问,这个私以为是一个BUG,是否要加上权限控制?该怎么加?

7 回复

....这个不是越权,是你在同一个浏览器登录过,seesion没失效。

我已经注销了superadmin了,
使用的是新的测试用户test1,这时候session应该销毁重建了吧?

哦,不对,这里列表页面,都是加了登录验证,,只能浏览,不能提交数据的,不信你试试?

额...列表页面能看到,也比较尴尬....

比如 /platform/sys/unit 这个控制类的index方法,
你可以把@RequiresAuthentication 改成 @RequiresPermissions("sys.manager.unit")

这样就可以了。

好滴,我去试试,谢谢,Wizzercn大

添加回复
请先登陆
回到顶部