如何保护我的ColdBox应用程序？

Question

我正在用ColdBox做我的第一步，我只是被卡住了。我有两个数据库表，用户和公司，每个用户属于一个公司。用户登录到应用程序后，可以列出每个公司，但只能编辑他所属的公司。

那么，我如何管理用户只有他的公司的编辑链接？我应该如何确保固定处理程序和编辑操作的安全？

我正在与ColdBox VirtualEntityService和Coldfusion ORM合作。我是否应该在UserService中编写一个验证用户权限的函数？

Answer 1

你的编辑权限应该以某种方式成为会话的一部分，你的视图应该包含一些逻辑，比如一个公司是否“可编辑”并显示编辑链接。当然，当有人实际使用编辑链接时，您的控制器需要仔细检查用户权限，以确保他们确实拥有所需的权限。

这似乎是一种“标准逻辑”问题，与Coldbox没有太多关系。我不是CB专家，但我不认为CB本身有什么特别的东西可以处理您的情况。这只是编写好的控制器和验证代码，并找出要存储在用户会话中的内容。