业务上快速迭代,运营后台是必不可少的工具,每天根据业务的实时数据变化,调整业务上的各种策略,动作以适应复杂多变的场景。
但是其中有一个比较重要的点是后台的安全性,有一定的权限控制在其中
一般最基本的权限:
- 不能更新和删除别人的内容;超级管理员除外
- 部分内容只有超级管理员才可以看到。
- 开发人员与超级管理员有什么区别?
现在权限系统都是RBAC,基于决策的访问控制,默认情况下大家都是普通用户,存在部分超级用户。
但是运营操作的过程中有些无法操作的,要能正确的提示错误信息。
除了操作的权限, 后台中还可能有一些敏感的数据,这些敏感的数据如何控制呢?数据单独申请授权
实现流程
一般有AOP,拦截器的方式,假如采用拦截器的方式。
1、用户页面的请求URL,请求参数全部拿到(包括requestbody)的内容。
2、如果是超级管理员,直接通过。
3、如果是普通管理员,并且是删除和更新操作,那么不是同一个用户提醒没有权限。
- 可以通过开关控制,是否需要这样操作
4、部分数据页面,单独申请页面授权。