针对系统权限的管控,基本的都是精确到按钮级别,除了最笨的人肉一个个去 check 还有其他什么办法?
- 初期的时候菜单不多还可以点点点,后面菜单多了就想哭了
- 对于接口的管控想的是,把所有接口都搂到一个集合里,然后进行遍历一个个的去赋予权限,再去检查其他接口有没有权限
没有能够传授点经验的么 好无奈啊
可以考虑下 了解系统设计 + review 代码 + 抽样测试?
例如开发用的是 spring security 之类的成熟工具,写很少代码 + 配置就可以完成权限配置,与其遍历,不如直接看配置 + 抽几个不同权限不同的测试。
也在找类似的文档,点的很累啊
我觉得可以尝试用下面的方法:
- 整理所有角色对应的权限,包括:
- 能够看到的页面
- 能够看到的菜单
- 能够点击的菜单
- 能够看到的按钮
- 能够点击的按钮
- 通过 selenium 模拟对对应页面、菜单和按钮的可见性、可操作性的校验
- 收集结果