请教个数据安全问题,如何防止api方式修改参数?

比如一个数据表,和用户表是关联的。

在区块中设置了数据范围为:当前登录用户关联的数据

通过浏览器F12开发者工具抓包,是可以发现filter参数的

如果用户通过api方式,把filter参数去掉,那他就可以查询到完整数据,进而修改非他本人关联的数据

这是很大的安全问题,请教下官方或各路大神,这样的问题要如何解决或避免?

这种场景可以在数据表的权限配置里配置相应的数据范围。

1 Like

这个方法好,以前没发现还能这样配。

但我好像遇到一个bug,就是数据范围的配置是共用的

任何一个表配置了数据范围,会覆盖其它表的数据范围配置

我当前是1.2.22版本
在官方的demo v1.3.0-alpha 测试也是同样问题:

角色中的所有数据、自己的数据是系统自带的,不要改变设置,可以自己增加数据范围,这个地方我们会修复

1 Like