情景:
前端对按钮权限做了控制,无权限的不显示,但这只是最基本的控制,如果有人通过postman软件发送删除请求,并且携带上token,这个token是在浏览器开发者工具中可以查到的,后端如果不做防御处理的话是很危险的
需求分析:
后端如何做防御呢?
后端在收到请求后,设置一个拦截器,去比对请求的api是否在该用户的权限列表中,这样的目的就是为了防止有人通过postman发送不合法的请求,同时也防止了前端页面中万一忘记写v-if暴露了某个按钮,也可以在后端进行了补救,起到二次控制作用
jwt和shiro做鉴权都是这个原因