常见的越权访问问题

描述:操作资源(CURD)时没有验证当前用户是否有权限操作当前资源。

例子:修改一篇博文时只验证用户在登录状态,根据博文 id 更新博文。

分险:任何人登录后可以修改任意博文,只需要猜到博文 id。

原因:用户私有数据会忽略鉴权