java项目中普遍存在的一个bug,用户直接可以通过url访问本人没有权限的页面

１、问题描述：

java项目中普遍存在的一个bug,即使在项目做了权限限制，但是在用户正常登录后，可以利用其他工具获取他本人没有权限访问的路径，然后在浏览器中直接打开页面，这样就对项目安全造成很大的威胁，这种问题在很多项目中都存在，但处理方式各有不同。

２.问题原因：

　一般项目都是在用户登录时与登录成功后对项目功能点的展示上，但对用户登录后“不合法”的访问不能控制

３、解决思路：

　　a)从项目是如何对用户做出权限限制的地方入手。(一般项目对用户做权限限制都会有用户权限表)

　　b)考虑是否可以在用户登录后，根据用户信息去查询权限表，查询用户访问的url是否在用户权限表里存在。根据存在与否对其进行进一步限制。

　　c)考虑添加此功能是否对项目稳定及效率会产生影响。如果直接查询用户权限表对会数据库产生压力，所以可以考虑将权限表的内容添加到项目缓存中

        d)此功能的引用最好在过滤器节点上。