权限校验点清单：页面/按钮/接口/字段/导出（附检查表）

前言

权限校验是安全的最后一道防线。很多越权问题都是因为校验不全：前端隐藏了按钮，但接口没校验；接口校验了，但字段没脱敏。这篇给你5个层级的权限校验清单。

一、5个权限校验层级

二、权限校验检查表

页面级校验

检查项： □ 用户访问无权限页面时，是否跳转403？ □ 是否在路由守卫中校验权限？ □ 是否在菜单中隐藏无权限页面？ PRD写法： 用户访问无权限页面时，跳转到403页面，提示"你没有权限访问该页面"

按钮级校验

检查项： □ 无权限按钮是否隐藏？ □ 是否禁用无权限按钮？ □ 是否在按钮点击时二次校验？ PRD写法： | 按钮 | 管理员 | 普通用户 | |------|-------|---------| | 新增 | 显示 | 隐藏 | | 编辑 | 显示 | 显示（仅自己的）| | 删除 | 显示 | 隐藏 |

接口级校验

检查项： □ 每个接口是否都校验权限？ □ 是否校验数据权限（只能操作自己的数据）？ □ 是否记录越权尝试日志？ PRD写法： 接口：DELETE /api/users/:id 权限要求：管理员 数据权限：无（管理员可删除任何用户） 无权限时：返回403，提示"你没有权限执行该操作"

字段级校验

检查项： □ 敏感字段是否根据角色脱敏？ □ 是否在接口返回前脱敏？ □ 是否在日志中脱敏？ PRD写法： | 字段 | 管理员 | 普通用户 | |------|-------|---------| | 手机号 | 明文 | 脱敏（138****1234）| | 身份证 | 明文 | 不返回 |

导出级校验

检查项： □ 是否校验导出权限？ □ 导出数据是否受数据权限限制？ □ 导出的敏感字段是否脱敏？ □ 是否限制导出数量？ PRD写法： 导出权限： - 管理员：可导出全量数据（最多10000条） - 部门负责人：可导出本部门数据（最多5000条） - 普通用户：不可导出 导出字段： - 敏感字段（手机号、身份证）必须脱敏 - 不导出密码、token等安全字段

三、权限校验实现步骤

步骤1：页面级权限校验

在路由守卫中校验用户是否有权限访问该页面。

实现方式（Vue Router示例）： router.beforeEach((to, from, next) => { // 检查用户是否登录 if (!user.isLoggedIn) { next('/login'); return; } // 检查页面权限 const hasPermission = checkPagePermission(to.path, user.role); if (!hasPermission) { next('/403'); // 跳转403页面 return; } next(); }); function checkPagePermission(path, role) { const pagePermissions = { '/admin': ['admin'], '/sales': ['sales', 'sales_manager', 'admin'], '/customer': ['sales', 'sales_manager', 'customer_service', 'admin'] }; const requiredRoles = pagePermissions[path]; return requiredRoles && requiredRoles.includes(role); }

步骤2：按钮级权限校验

在按钮渲染时校验权限，无权限时隐藏或禁用按钮。

实现方式（Vue示例）： // 权限指令 Vue.directive('permission', { inserted(el, binding) { const { value } = binding; const hasPermission = checkButtonPermission(value, user.role); if (!hasPermission) { el.parentNode && el.parentNode.removeChild(el); } } }); // 使用 <button v-permission="'customer.delete'">删除客户</button> // 权限检查函数 function checkButtonPermission(permission, role) { const buttonPermissions = { 'customer.delete': ['admin'], 'customer.edit': ['sales', 'sales_manager', 'admin'], 'customer.view': ['sales', 'sales_manager', 'customer_service', 'admin'] }; const requiredRoles = buttonPermissions[permission]; return requiredRoles && requiredRoles.includes(role); }

步骤3：接口级权限校验

在接口层统一校验权限，无权限时返回403。

实现方式（Node.js Express示例）： // 权限中间件 function checkPermission(requiredRole) { return (req, res, next) => { const userRole = req.user.role; // 检查角色权限 if (!hasRole(userRole, requiredRole)) { return res.status(403).json({ code: 403, message: '你没有权限执行该操作' }); } // 检查数据权限 if (req.params.id) { const hasDataPermission = checkDataPermission(req.params.id, req.user); if (!hasDataPermission) { return res.status(403).json({ code: 403, message: '你没有权限访问该数据' }); } } next(); }; } // 使用 app.delete('/api/customers/:id', authenticate, // 认证中间件 checkPermission('admin'), // 权限中间件 deleteCustomer // 业务逻辑 );

步骤4：字段级权限校验

在接口返回前，根据角色对敏感字段进行脱敏或隐藏。

实现方式（Node.js示例）： function formatCustomer(customer, user) { const formatted = { ...customer }; // 根据角色处理敏感字段 if (user.role !== 'admin') { // 手机号脱敏 if (formatted.phone) { formatted.phone = maskPhone(formatted.phone); } // 身份证隐藏 if (user.role === 'customer_service') { delete formatted.idCard; } // 邮箱脱敏 if (formatted.email) { formatted.email = maskEmail(formatted.email); } } return formatted; } // 使用 app.get('/api/customers/:id', async (req, res) => { const customer = await getCustomerById(req.params.id); const formatted = formatCustomer(customer, req.user); res.json(formatted); });

步骤5：导出级权限校验

在导出接口中校验导出权限和数据权限，限制导出数量。

实现方式（Node.js示例）： app.post('/api/customers/export', async (req, res) => { const user = req.user; // 检查导出权限 if (!hasExportPermission(user.role)) { return res.status(403).json({ code: 403, message: '你没有权限导出数据' }); } // 检查导出数量限制 const maxCount = getMaxExportCount(user.role); const query = buildDataPermissionQuery(user); query.limit = Math.min(query.limit || 10000, maxCount); // 查询数据 const customers = await getCustomers(query); // 脱敏处理 const formatted = customers.map(c => formatCustomerForExport(c, user)); // 生成Excel const excel = generateExcel(formatted); res.setHeader('Content-Type', 'application/vnd.openxmlformats-officedocument.spreadsheetml.sheet'); res.setHeader('Content-Disposition', 'attachment; filename=customers.xlsx'); res.send(excel); }); function hasExportPermission(role) { const exportRoles = ['admin', 'manager', 'sales_manager']; return exportRoles.includes(role); } function getMaxExportCount(role) { const limits = { 'admin': 10000, 'manager': 5000, 'sales_manager': 2000 }; return limits[role] || 0; }

四、常见越权场景

场景1：水平越权

问题：用户A可以访问用户B的数据。

❌ 错误示例： 接口：GET /api/orders/:id 实现：直接返回订单，不校验数据归属 攻击方式： 用户A（ID=1）访问：GET /api/orders/2 可以获取用户B（ID=2）的订单数据 ✅ 正确做法： 接口：GET /api/orders/:id 实现：校验订单归属 const order = await getOrderById(id); if (order.user_id !== req.user.id && req.user.role !== 'admin') { return res.status(403).json({ message: '无权限访问' }); } return res.json(order);

场景2：垂直越权

问题：普通用户可以执行管理员操作。

❌ 错误示例： 接口：DELETE /api/users/:id 实现：只检查是否登录，不检查角色 攻击方式： 普通用户调用：DELETE /api/users/1 可以删除其他用户 ✅ 正确做法： 接口：DELETE /api/users/:id 实现：校验角色权限 if (req.user.role !== 'admin') { return res.status(403).json({ message: '无权限执行该操作' }); } await deleteUser(id);

场景3：参数篡改

问题：用户修改URL参数访问其他数据。

❌ 错误示例： 接口：GET /api/customers?team_id=1 实现：直接使用team_id查询，不校验 攻击方式： 用户A（team_id=1）修改参数：?team_id=2 可以获取其他团队的数据 ✅ 正确做法： 接口：GET /api/customers?team_id=1 实现：校验参数合法性 const teamId = req.query.team_id; if (teamId && teamId !== req.user.team_id && req.user.role !== 'admin') { return res.status(403).json({ message: '无权限访问该团队数据' }); } const customers = await getCustomers({ team_id: teamId || req.user.team_id });

场景4：接口枚举

问题：用户遍历ID获取所有数据。

❌ 错误示例： 接口：GET /api/customers/:id 实现：不限制查询频率，不校验数据权限 攻击方式： 用户遍历ID：1, 2, 3, 4, ... 可以获取所有客户数据 ✅ 正确做法： 1. 接口限流：限制每个用户的请求频率 2. 数据权限校验：只返回用户有权限的数据 3. 记录访问日志：记录异常访问行为 // 限流中间件 app.use('/api/customers/:id', rateLimit({ windowMs: 60 * 1000, // 1分钟 max: 100 // 最多100次请求 })); // 数据权限校验 const customer = await getCustomerById(id); if (customer.owner_id !== req.user.id && req.user.role !== 'admin') { return res.status(403).json({ message: '无权限访问' }); }

场景5：前端绕过

问题：前端隐藏了按钮，但接口没有校验，可以直接调用接口。

❌ 错误示例： 前端：隐藏删除按钮（v-if="user.role === 'admin'"） 后端：接口没有权限校验 攻击方式： 普通用户直接调用：DELETE /api/customers/1 可以删除客户 ✅ 正确做法： 前端：隐藏按钮（用户体验优化） 后端：接口必须校验权限（安全控制） // 后端必须校验 app.delete('/api/customers/:id', checkPermission('admin'), // 权限校验 deleteCustomer );

场景6：批量操作越权

问题：批量操作接口没有校验每个数据的权限。

❌ 错误示例： 接口：POST /api/customers/batch-delete 实现：只检查是否有删除权限，不检查每个数据的权限 攻击方式： 普通用户传入其他用户的ID：[1, 2, 3, 4] 可以删除其他用户的数据 ✅ 正确做法： 接口：POST /api/customers/batch-delete 实现：校验每个数据的权限 const ids = req.body.ids; for (const id of ids) { const customer = await getCustomerById(id); if (customer.owner_id !== req.user.id && req.user.role !== 'admin') { return res.status(403).json({ message: `无权限删除客户${id}` }); } } await batchDeleteCustomers(ids);

五、PRD模板

完整PRD模板

权限校验要求： 1. 页面级： - 用户访问无权限页面时，跳转403页面，提示"你没有权限访问该页面" - 菜单中隐藏无权限页面 - 路由守卫中统一校验页面权限 2. 按钮级： - 无权限按钮隐藏或禁用 - 按钮点击时二次校验权限（防止前端绕过） - 按钮权限矩阵见附表 3. 接口级： - 所有接口必须校验权限（后端统一处理） - 校验数据权限（只能操作自己的数据） - 无权限时返回403，提示"你没有权限执行该操作" - 记录越权尝试日志 4. 字段级： - 敏感字段根据角色脱敏 - 在接口返回前统一处理 - 字段权限矩阵见附表 5. 导出级： - 校验导出权限（接口层校验） - 限制导出数量（根据角色设置上限） - 敏感字段脱敏（导出文件中的敏感字段也要脱敏） - 记录导出日志（谁、何时、导出多少条） 6. 技术实现： - 页面级：路由守卫统一处理 - 按钮级：权限指令或组件统一处理 - 接口级：权限中间件统一处理 - 字段级：数据格式化函数统一处理 - 导出级：导出接口统一处理

权限校验检查表模板

权限校验检查表： 页面级校验： □ 用户访问无权限页面时，是否跳转403？ □ 是否在路由守卫中校验权限？ □ 是否在菜单中隐藏无权限页面？ □ 是否记录无权限访问日志？ 按钮级校验： □ 无权限按钮是否隐藏？ □ 是否禁用无权限按钮？ □ 是否在按钮点击时二次校验？ □ 按钮权限是否配置化？ 接口级校验： □ 每个接口是否都校验权限？ □ 是否校验数据权限（只能操作自己的数据）？ □ 是否记录越权尝试日志？ □ 接口权限是否配置化？ 字段级校验： □ 敏感字段是否根据角色脱敏？ □ 是否在接口返回前脱敏？ □ 是否在日志中脱敏？ □ 字段权限是否配置化？ 导出级校验： □ 是否校验导出权限？ □ 导出数据是否受数据权限限制？ □ 导出的敏感字段是否脱敏？ □ 是否限制导出数量？ □ 是否记录导出日志？

六、常见错误

错误1：只做前端校验

问题：只在前端隐藏按钮或页面，后端接口没有校验，可以直接调用接口绕过。

❌ 错误示例： 前端：隐藏删除按钮（v-if="user.role === 'admin'"） 后端：接口没有权限校验 问题：用户可以直接调用接口删除数据。 ✅ 正确示例： 前端：隐藏删除按钮（用户体验优化） 后端：接口必须校验权限（安全控制） // 后端必须校验 app.delete('/api/customers/:id', checkPermission('admin'), deleteCustomer );

错误2：接口校验不完整

问题：只校验了功能权限，没有校验数据权限，导致水平越权。

❌ 错误示例： 接口：GET /api/orders/:id 实现：只检查是否有查看订单权限，不检查订单归属 问题：用户A可以查看用户B的订单。 ✅ 正确示例： 接口：GET /api/orders/:id 实现：既校验功能权限，又校验数据权限 const order = await getOrderById(id); if (order.user_id !== req.user.id && req.user.role !== 'admin') { return res.status(403).json({ message: '无权限访问' }); }

错误3：敏感字段不脱敏

问题：所有角色都能看到敏感字段的明文，导致隐私泄露。

❌ 错误示例： 接口返回：所有角色都能看到完整手机号、身份证号。 ✅ 正确示例： 接口返回：根据角色脱敏 - 管理员：明文 - 部门负责人：脱敏 - 普通用户：不可见

错误4：导出不限制

问题：导出功能没有权限校验和数量限制，可以导出全量数据。

❌ 错误示例： 导出接口：没有权限校验，没有数量限制。 问题：任何用户都可以导出全量数据。 ✅ 正确示例： 导出接口： - 校验导出权限 - 限制导出数量（根据角色） - 敏感字段脱敏 - 记录导出日志

错误5：权限校验不一致

问题：不同接口、不同页面对同一权限的校验不一致。

❌ 错误示例： 删除接口：需要admin权限 编辑接口：需要admin或manager权限（不一致） ✅ 正确示例： 统一权限配置，所有接口使用相同的权限校验逻辑。

错误6：不记录越权日志

问题：不记录越权尝试日志，无法发现和追溯安全问题。

❌ 错误示例： 越权访问：只返回403，不记录日志。 问题：无法发现攻击行为，无法追溯。 ✅ 正确示例： 越权访问：返回403，并记录日志 - 操作人：用户ID、用户名、角色 - 操作时间：精确到秒 - 操作类型：越权访问 - 操作对象：接口路径、参数 - 操作结果：失败、原因

七、最佳实践

实践1：后端统一校验

所有权限校验都在后端统一处理，前端只负责用户体验优化。

✓ 正确做法： - 页面级：路由守卫校验（前端）+ 接口校验（后端） - 按钮级：隐藏按钮（前端）+ 接口校验（后端） - 接口级：权限中间件统一校验（后端） - 字段级：数据格式化统一处理（后端） ✗ 错误做法： - 只在前端校验 - 前端判断权限后调用接口 - 前端做数据脱敏

实践2：权限配置化

将权限规则配置化，不要硬编码在代码中。

✓ 正确做法： 配置文件（permissions.yaml）： permissions: customer.delete: roles: [admin] customer.edit: roles: [admin, manager] customer.view: roles: [admin, manager, sales] ✗ 错误做法： 代码中硬编码： if (user.role === 'admin') { // 允许删除 }

实践3：记录操作日志

记录所有权限相关操作，便于审计和追溯。

日志记录内容： - 操作人：用户ID、用户名、角色 - 操作时间：精确到秒 - 操作类型：页面访问、按钮点击、接口调用、数据导出 - 操作对象：页面路径、按钮名称、接口路径、数据ID - 操作结果：成功、失败、原因 - IP地址：用户IP地址 - 用户代理：浏览器信息

实践4：定期安全审计

定期检查权限配置和越权日志，发现和修复安全问题。

审计检查项： - 权限配置是否正确 - 是否有越权访问日志 - 敏感字段是否泄露 - 导出功能是否被滥用 - 接口权限校验是否完整

实践5：防御性编程

假设前端可能被绕过，后端必须做完整的权限校验。

防御措施： - 不信任前端传来的任何权限信息 - 后端重新获取用户信息和权限 - 所有接口都做权限校验 - 所有数据操作都做数据权限校验 - 记录所有异常操作

八、FAQ

Q1：前端校验够吗？

答：不够。前端校验只是体验优化，后端必须校验。前端可以被绕过。

为什么前端校验不够：

• 前端代码可修改：用户可以通过浏览器开发者工具修改前端代码
• 接口可直接调用：用户可以直接调用接口，绕过前端限制
• 网络请求可拦截：用户可以通过抓包工具拦截和修改请求

正确的做法：

• 前端：隐藏按钮、禁用按钮（用户体验优化）
• 后端：接口必须校验权限（安全控制）
• 原则：前端可信任，后端不可信任

Q2：接口校验在哪里做？

答：建议在中间件/拦截器统一校验，不要在每个接口里重复写。

实现位置：

• 中间件/拦截器：统一处理权限校验，避免重复代码
• 装饰器/注解：通过装饰器或注解声明权限要求
• AOP切面：通过AOP统一处理权限校验

示例（Express中间件）： // 权限中间件 function checkPermission(requiredRole) { return (req, res, next) => { if (!hasRole(req.user.role, requiredRole)) { return res.status(403).json({ message: '无权限' }); } next(); }; } // 使用 app.delete('/api/customers/:id', authenticate, checkPermission('admin'), deleteCustomer );

Q3：数据权限怎么校验？

答：在查询数据时，根据用户角色自动添加WHERE条件，过滤数据。

实现方式：

• 数据访问层：在DAO层统一添加WHERE条件
• 服务层：在Service层校验数据归属
• 接口层：在Controller层校验数据权限

示例： function getOrders(user) { let query = "SELECT * FROM orders"; let where = []; // 根据角色添加WHERE条件 if (user.role === 'user') { where.push("user_id = " + user.id); } else if (user.role === 'manager') { where.push("team_id = " + user.team_id); } // admin不添加WHERE条件 if (where.length > 0) { query += " WHERE " + where.join(" AND "); } return executeQuery(query); }

Q4：字段脱敏在哪里做？

答：建议在接口返回前统一处理，数据库存储明文。

实现位置：

• 接口返回前：在Controller层统一处理字段脱敏
• 数据格式化：使用数据格式化函数统一处理
• 序列化：在序列化时根据角色脱敏

示例： function formatCustomer(customer, user) { const formatted = { ...customer }; if (user.role !== 'admin') { // 手机号脱敏 if (formatted.phone) { formatted.phone = maskPhone(formatted.phone); } // 身份证隐藏 if (user.role === 'user') { delete formatted.idCard; } } return formatted; }

Q5：如何测试权限校验？

答：使用不同角色的测试账号，验证权限校验是否正确。

测试方法：

• 功能权限测试：验证每个功能是否按权限控制
• 数据权限测试：验证数据访问是否按权限过滤
• 越权测试：验证无权限操作是否被拒绝
• 字段脱敏测试：验证敏感字段是否正确脱敏

测试工具：

• 使用Postman、JMeter等工具测试接口
• 使用不同角色的测试账号
• 检查接口返回的数据是否符合权限规则

Q6：权限校验会影响性能吗？

答：可能会，但可以通过优化避免。

性能优化方法：

• 缓存权限信息：缓存用户权限信息，减少数据库查询
• 索引优化：在权限字段上建立索引，提高查询性能
• 批量查询：批量查询权限，减少数据库访问次数
• 异步处理：日志记录等操作异步处理，不影响主流程

性能监控：

• 监控权限校验耗时
• 监控数据库查询性能
• 发现性能问题及时优化

Q7：如何处理权限变更？

答：如果权限配置化，可以直接修改配置，不需要修改代码。

权限变更流程：

• 权限变更申请：业务方提出权限变更需求
• 权限评估：评估变更影响和风险
• 权限配置：修改权限配置（配置文件或数据库）
• 权限测试：测试变更后的权限是否正确
• 权限发布：发布权限变更
• 权限审计：记录权限变更日志

注意事项：

• 权限变更要谨慎，避免权限过大或过小
• 权限变更要通知相关用户
• 权限变更要记录日志，便于追溯

工具入口

生成权限校验清单思维导图