越权的防范

  1. 每个页面都要做好访问控制
  2. 不要用一些危险的URL,例如
    1. /admin
    2. /manager
    3. /user/:id
  3. id的原则
    1. 唯一
    2. 尽量短
    3. 无规则
    4. 不可遍历
  4. 登录状态一定要有过期时间,过期了重新登录
  5. 避免一些 debug用的 URL上线,例如
    1. _debug
    2. _log