用户权限BUG，用户可以访问没有被授权的功能

jjch99 · 发表于 2014-7-17 16:48:46

本帖最后由 jjch99 于 2014-7-19 10:21 编辑

1、从角色【普通用户】的权限中删除【系统日志】功能
2、新增用户test，角色为【普通用户】。
3、用test用户登录系统
4、通过Fiddler工具直接向服务器提交请求【http://xxx.xxx.xxx.xxx:8080/jeec ... grid&field=loglevel,id,logcontent,note,broswer,operatetime,】，服务器正常返回了日志查询结果数据。按权限配置test用户应该不能有查询日志的权限。

说明框架里的权限配置只是简单的控制了入口菜单的显示，而并没有真正做到对非法访问的拦截控制，这样的效果在企业级应用里肯定是满足不了要求的。

jjch99 · 发表于 2014-7-19 10:24:40

没人注意到这个问题？

zzz9413 · 发表于 2014-8-2 10:27:29

其他的按钮权限呢？就是在权限配置里出现的选项

aahaa · 发表于 2014-8-7 13:18:33

顶一个。。。不晓得有没其他正正做到权限控制的东西。。

TGGDP · 发表于 2014-12-5 15:44:27

这是因为之前的shortcutFunctionMap未清空造成，只要在LoginController中的checkuser方法中的用户名和密码验证成功的地方加上后面的一句就可以了shortcutFunctionMap=null;

[环境搭建] 用户权限BUG，用户可以访问没有被授权的功能