常见的越权访问问题 描述:操作资源(CURD)时没有验证当前用户是否有权限操作当前资源。 例子:修改一篇博文时只验证用户在登录状态,根据博文 id 更新博文。 分险:任何人登录后可以修改任意博文,只需要猜到博文 id。 原因:用户私有数据会忽略鉴权
