java - 一個(gè)關(guān)于bbs權(quán)限的設(shè)計(jì)問(wèn)題,真心請(qǐng)教大家
問(wèn)題描述
請(qǐng)教大家們一個(gè)問(wèn)題,情景如下:假若一個(gè)論壇分有N個(gè)板塊,而每個(gè)板塊存在若干版主。若規(guī)定一個(gè)帖子的刪除可以由版主和帖子作者操作,而帖子的編輯只能由作者操作。而每個(gè)板塊都有一個(gè)門(mén)檻,低于這個(gè)積分(門(mén)檻)則不得進(jìn)入。。。
我能夠想到用權(quán)限的知識(shí)去解決這個(gè)問(wèn)題,但是問(wèn)題在于,訪問(wèn)一個(gè)板塊時(shí)板塊的ID往往暴露在URL中,如果用戶想要訪問(wèn)一個(gè)他進(jìn)不去的板塊文章,往往改變一下板塊ID就可以,(即便這個(gè)板塊的ID中并不存在這個(gè)文章),這個(gè)問(wèn)題解決起來(lái)較容易,但是對(duì)于復(fù)雜的權(quán)限(例如用戶分級(jí),每一級(jí)有不同的操作)這樣一個(gè)個(gè)檢查代碼就顯得很亂。網(wǎng)上最多的說(shuō)法往往使用POST方法,但我發(fā)現(xiàn)phpwind等這些論壇很多參數(shù)都是暴露的,那么它們是如何做到安全性的呢?
本人不算是很有經(jīng)驗(yàn),處于學(xué)習(xí)階段,我想到的是例如每次刪除之前為了防止用戶隨意給參數(shù)賦值,先進(jìn)行一次查詢,當(dāng)這條記錄存在則刪除,不存在則返回錯(cuò)誤信息,但不知道這樣會(huì)不會(huì)增加數(shù)據(jù)庫(kù)連接壓力(好在這不是高頻率操作),另外就是著名的URL重寫(xiě)技術(shù),但這幾種方法能算是安全嗎?有沒(méi)有什么更好的方法呢??
問(wèn)題解答
回答1:其實(shí)你說(shuō)不是高并發(fā)的話 放在服務(wù)器內(nèi)自己查一遍倒也不是不可以
