特权用户-请求头隐藏暗门

安全问题：在请求头中带上X-NON-VALID：True，请求就带有特权，不用经过权限审查

测试方法：前后端代码审查，阅读权限校验代码，发现代码中存在暗门