越权的防范 越权的防范 每个页面都要做好访问控制不要用一些危险的URL,例如 /admin/manager/user/:id id的原则 唯一尽量短无规则不可遍历 登录状态一定要有过期时间,过期了重新登录避免一些 debug用的 URL上线,例如 _debug_log