简介

为增强组权限功能，在设置应用使用范围后，将对用户访问该应用时进行权限检测，以确认其是否有权限使用。

应用权限检测逻辑

首先，判断用户是否为管理员以及访问的应用是否已设置权限。若用户为管理员且访问的应用未设置应用权限，则跳过权限检测。若用户为非管理员且访问的应用有权限设置，则获取用户UID。若用户已登录，则以登录用户的UID作为UID参数；若用户未登录，则检查用户输入数据中是否带有uidtoken参数，即通过加密处理(dzzencode)的用户UID，若有，则以此作为UID参数。接下来，判断UID参数是否有值。若有，则根据UID检查该用户是否有权限访问该应用；若无UID，则判断访问的应用是否设置了全员可用或是否仅限游客访问。若应用设置为全员可用或仅限游客可用，则允许未登录用户访问应用；反之，跳转至登录界面。

问：检查用户输入数据中是否带有uidtoken参数是指？

答：在某些特定场景中，我们需要为Dzz外部提供接口，并在接口中包含Dzz中用户的UID。为了确保安全性，我们需要对这些UID进行加密处理（使用dzzencode算法），以防止潜在的安全问题。例如，当使用OnlyOffice预览和编辑文档时，OnlyOffice会与Dzz进行通信，将在OnlyOffice中编辑的文档保存到Dzz上。然而，Dzz无法知道该文档是由哪个用户保存的。因此，我们需要在OnlyOffice访问的URL中包含uidtoken参数，以便Dzz了解是哪个用户需要保存文档。

步骤

文件：core\class\dzz\dzz_app.php在if(isset($this->var['setting']['nocacheheaders']) && $this->var['setting']['nocacheheaders'])前插入以下代码：

if(!$this->var['member']['adminid'] && $appidxu=C::t('app_market')->fetch_by_identifier(CURMODULE)){
    if($this->var['member']['uid']){
        $uid=$this->var['member']['uid'];
    }elseif($_GET['uidtoken']){
        $uid=intval(dzzdecode($_GET['uidtoken']));
    }
    if(!$appidxu['available']){
        showmessage(lang('该应用已关闭，请联系管理员。'));
    }elseif($uid){
        $appuid= C::t('user_field')->fetch($uid);
        $appuidz=explode(',',$appuid['applist']);
        if (in_array($appidxu['appid'],$appuidz)){
        }elseif($config=dzz_userconfig_init()){
            if($config['applist']){
                $applist=explode(',',$config['applist']);
            }else{
                $applist=array();
            }
            $appuid= C::t('user_field')->fetch($uid);
            $appuidz=explode(',',$appuid['applist']);
            if (in_array($appidxu['appid'],$appuidz)){
            }else{
                showmessage(lang('您无权限使用该应用，请联系管理员。'));
            }
        }
    }elseif($appidxu['group']==0 || $appidxu['group']==-1){
    }else{
        Hook::listen('check_login');
    }
}