越权

横向越权：横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源 

纵向越权：纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源

对于纵向越权，我们可以通过设置用户角色，为不同的角色提供不同的权限来避免。

对于横向越权，就比较麻烦了，横向越权可能出现的场景有：在用户忘记密码重置密码时，回答对了问题进入密码重置阶段时，如果知道其他用户的用户名，很容易改变此用户的密码，然后就可以进行越权访问了。

    这种情况下为了防止横向越权，我们可以使用缓存来进行辅助，当问题回答正确时，我们在缓存中存储一对由用户名和一个唯一的数字组成的数据，然后返回放入的唯一数据。在重置密码时我们的参数不仅需要用户名和密码还需要前面生成的唯一数字，根据用户名在缓存中取出对应的数字，如果取出的数字和参数中传入的想等，则证明重置的当前用户的密码，否则不是，且不予以重置。

重置密码回答问题

重置密码