[star7th/showdoc]设置目录权限,可以通过修改url参数直接访问其他目录信息

2024-08-15 146 views
4

A项目下有1、2、3个目录,给用户设置了A项目2目录的可读权限,当用户访问的时候,可以通过上面的参数直接访问1目录下的页面。(xxx/web/#/A/2 修改为 xxx/web/#/A/1)

回答

9

目前目录权限这块都是偷懒了的,只是在展示层面隐藏了其他目录,但实际上对方是可以通过改id的方式获取数据。 之所以这么做,是为了省开发成本。不然的话,要在每个接口场景下都判断目录权限,这个实在太麻烦了,更何况showdoc本身有很多层目录。 我觉得,会通过改id来获取其他数据的人,本身就是属于“你一开始就不应该去信任他”的这类人,这样没必要给对方开成员权限。 这块是开发成本上的妥协。如果有很多人反馈的话,就再做吧。目前好像没多少声音

3

另外一个权限问题,该用户只有当前项目下一个目录权限,导出的时候可以导出整个项目的信息。辛苦记录一下,如果可以请修复一下。(^o^)/

2

已发布新版,解决导出的word权限问题