我有一个名为“todos”的应用程序,在这个应用程序中我有一个名为“add_todo”的权限代码,返回应用程序名称+代码名称(todos.add_todo)作为控制哪些按钮和UI的机制是一个坏主意吗在前端向用户显示?
我目前编写了一个端点,它以以下格式的列表形式返回所有用户的权限:“app_name.permission__codename”。我想知道这是否会带来安全风险。另外值得注意的是,只有当前登录的用户才能看到他/她自己的权限。
不,如果您查看权限模型,它具有指向应用程序模型的
content_type
,则不存在安全问题。
但要保持名称和代号可读,例如:
users_permissions = ['can_add_todos', 'can_delete_todos']
类似的示例来自 docs