越权问题:
描述:在使用 api 请求订单详情接口时,一般我们是传递订单id 来获取该订单的内容。但是会存在一个问题:当用户手动去变更订单id 参数来请求接口数据时,会获取到不属于他的数据,这就产生了越权。
解决办法: 根据订单id 查询到对应的user_id 对当前登录用户的id 和查询到的user_id 进行一致性判断,如果不一致,则返回操作越权。
示例代码:
public function orderAuth($order_id){
$userInfo = new User();
$user_id = Order::where('id',$order_id)
->value('uid');
if($userInfo->id !== $user_id){
throw new \Exception('越权行为');
}
}
$this->orderAuth($order_id);//验证授权