修复：只有超级管理员账号可以修改自己资料BUG

JaguarJack / catch-admin

CatchAdmin是一个基于对Laravel和Element Plus进行二次开发的后台管理系统。CatchAdmin仍然采用传统的前后端分离策略，其中Laravel框架仅用作Api输出。通过这种设计，成功将管理系统模块之间的耦合降至最低。

https://catchadmin.com

Apache License 2.0

719 stars 122 forks source link

Open hhun opened 5 months ago

hhun commented 5 months ago

修改自己账号的资料，无需鉴权。

JaguarJack commented 5 months ago

auth 不光包含权限还包含 token 认证的

hhun commented 5 months ago

auth 不光包含权限还包含 token 认证的

token 没有认证时，$request->user()->id 等于 0 更新是 id=0 的数据，系统没有id为0的数据，也就不会修改任何数据。所以没有登陆时，不鉴权就修改不了别人的数据。

JaguarJack commented 5 months ago

auth 不光包含权限还包含 token 认证的

token 没有认证时，$request->user()->id 等于 0 更新是 id=0 的数据，系统没有id为0的数据，也就不会修改任何数据。所以没有登陆时，不鉴权就修改不了别人的数据。

从功能层面的确没问题，但是从严格的代码层面，最好还是加上 token 认证的 middleware