就Web应用而言,可以从几个方面去测试Access Control。
UI
在UI上,有些button或者link不应该存在。
Code
不能用Firebug或者其他dev tool修改Code的方式达到目的。
URL
不能通过直接访问某些URL达到目的。
Request
不能用RESTClient或者CURL等其他工具compose一个request达到目的
1. use Firebug/Net to know currently Method and URL
2. Content-Type: application/json
3. verify the status code: 403