liaomingwu的专栏

接口的接入授权一般都有一套固定的模式，请求方通过对相关参数进行加密签名，接收方对接收到的参数信息进行同样的签名，并判断两个签名是否相同，以此来判断请求的合法性。与授权有关的参数（一般包括请求时间，请求序号，请求接入id，请求签名等）可以和业务参数一起传递，也可以将授权相关参数通过请求头的方式传递。将授权相关参数通过请求头进行传递，并且通过interceptor和filter技术，在controller接收请求以前进行授权判断，这样controller就只需要处理正常的业务请求，使得业务处理更加简洁，不会

java web项目基于spring-boot-start封装越权检查服务及应用

java基于模块的数据字典权限验证防止数据越权攻击

总体来说，有三个思路，第一个思路是限制好查询权限，对查询的数据进行缓存，修改和删除以查询数据为基准进行限制；第二个思路是针对关键信息计算token返回页面，页面提交的时候，校验关键信息是否被篡改；第三个思路是尽量将关键信息从服务端获取（比如会话中获取），尽量避免根据前端传递的关键信息进行业务操作。

水平越权（横向越权）和垂直权限（纵向越权）问题