摘要:
最近,我一直在研究权威领域。我做得越多,我就越混乱。我有很多问题,想和你讨论。但默认情况下,所有url都可以访问,但菜单可见性不同。只要用户能够记住URL,他们就可以在地址栏中输入URL来访问他们看不到的内容。它安全吗?但是,如果控制了URL,则应该控制整个项目的URL。管理起来太麻烦了。我想知道是否有办法实现两者。如何控制权限?
最近一直在做权限那一块,越做越乱,有很多疑问,想和大家探讨交流。希望大家不吝赐教、
1、项目用的是spring security框架,在用这个框架的时候,配置文件的配置就花了很长时间,然后就是将项目中的所有url都进行控制,输入数据库或配到配置文件中。
2、在做的时候,出现了分歧,老大的意思是只控制到菜单级别,有权限就可以看到菜单,没权限就不能看到菜单。但是默认所有的url都是可以访问的,只是菜单可见度不同。
我的理解是:如果不控制到url,那怎么能保证安全呢?用户只要能记住url,就可以在地址栏输入url,访问自己本来看不到的东西,这还有安全可言吗?但是如果控制到url,那整个项目的url都要进行控制,管理起来太繁琐,不知道有没有两全的办法,权限控制到底是怎样控制的呢?
3、我的疑问:是否一定要把url都输入数据库中?还有没有其他的方式呢?