如何保護我的ColdBox應用程序？

Question

我正在做我的ColdBox的第一步，我剛剛被困住了。我有兩個數據庫表，用戶和公司，每個用戶都屬於一個公司。用戶登錄到應用程序後，他可以列出每個公司，但只能編輯他所屬的公司。

那麼，如何管理用戶只有他的公司的編輯鏈接？我應該如何確保公司處理程序和編輯行爲？

我正在使用ColdBox VirtualEntityService和Coldfusion ORM。我應該在UserService中編寫一個驗證用戶權限的函數嗎？

Answer 1

您的編輯權限應該以某種方式成爲會話的一部分，並且您的視圖應該包含一些關於公司「可編輯」並顯示編輯鏈接的邏輯。當然，如果有人真的使用編輯鏈接來確保他們確實擁有他們需要的權限，那麼您的控制器將需要再次檢查用戶的權限。

這似乎是一種「標準邏輯」問題，與Coldbox沒有太大關係。我不是CB專家，但我認爲CB沒有專門處理您案件的內容。這只是關於編寫好的控制器和驗證代碼，以及確定在用戶會話中存儲什麼。