XXXX软件中有个用户中心模块:
其中分多个角色:超级用户(软件开发商):admin
管理员 (购买软件使用权者):admin001
物业:147
商家:258
客服:369
小站:987
住户:654
admin和admin001可以登录用户中心修改/删除其它账号的密码和账号信息。
问题1:前端没有做限制时,物业、商家、客服、小站、住户,都可以访问用户中心,修改/删除管理员账号admin001的信息!
问题2:前端做了限制时,不能登录用户中心,但因为只是前端做限制,通过F12修改限制,请求还是通过,登录用户中心成功,修改/删除管理员账号admin001的信息也成功!!!
总结:
权限问题,不应该是前端去做限制,应该后端代码做处理。测试时,发现问题1时,不能只改变表象(前端),要深入内部(后端接口)解决问题。才能显得你测试更专业一些。