業務上快速迭代,運營後臺是必不可少的工具,每天根據業務的實時數據變化,調整業務上的各種策略,動作以適應複雜多變的場景。
但是其中有一個比較重要的點是後臺的安全性,有一定的權限控制在其中
一般最基本的權限:
- 不能更新和刪除別人的內容;超級管理員除外
- 部分內容只有超級管理員纔可以看到。
- 開發人員與超級管理員有什麼區別?
現在權限系統都是RBAC,基於決策的訪問控制,默認情況下大家都是普通用戶,存在部分超級用戶。
但是運營操作的過程中有些無法操作的,要能正確的提示錯誤信息。
除了操作的權限, 後臺中還可能有一些敏感的數據,這些敏感的數據如何控制呢?數據單獨申請授權
實現流程
一般有AOP,攔截器的方式,假如採用攔截器的方式。
1、用戶頁面的請求URL,請求參數全部拿到(包括requestbody)的內容。
2、如果是超級管理員,直接通過。
3、如果是普通管理員,並且是刪除和更新操作,那麼不是同一個用戶提醒沒有權限。
- 可以通過開關控制,是否需要這樣操作
4、部分數據頁面,單獨申請頁面授權。