我有Manager,Workers和Customers的层次结构设计。
客户属于工人。工人在经理人之下。因此,每个经理只能看到和编辑自己的孩子和大孩子。
我为每位经理创建了一个页面来执行此操作。所以我的问题是,当经理提交已编辑的页面时,我是否仍需要再次在服务器上验证提交的编辑是否真的是他的孩子或大孩子?
这看起来有点单调乏味,所以我想知道客户猜测或欺骗MongoDB对象ID有多难?我不希望Manager1能够通过指定自己的帖子请求参数来发送POST请求来编辑Manager2子项。
它们是否适用于此类设计?