发现一个越权漏洞，解决方案：authorId需根据article_id查询出来，因为前端的数据除了token，都不可信。

[imoyao]

• [ ] 发现一个越权漏洞，解决方案：authorId需根据article_id查询出来，因为前端的数据除了token，都不可信。

json_data = request.json
current_user_id = json_data.get('authorId')
if g.user.id != current_user_id:  # or  g.current_user.can(Permission.ADMINISTER):
    return forbidden('Insufficient permissions')

Originally posted by @githubcyc in https://github.com/imoyao/idealyard/issues/9#issuecomment-824031989

[imoyao]

https://github.com/imoyao/idealyard/issues/9#issuecomment-824469575

好的，暂时没有时间修复这个问题。 当时对token这方面的理解和认识还不够深，鉴权这一块有好几处应该都是有漏洞的。其实现在前端请求后端API都不是通过token来认证的。如果你有兴趣可以继续开发，欢迎PR.