越权问题是否可以通过加签来修复

首先越权问题的正确修复方法是

校验当前用户有没有当前接口权限、校验用户要修改的数据是否属于当前用户

但当系统设计之初没有考虑到权限问题，而后期需要补救时，开发可能会想到通过加一个sign参数来蒙混过关，提高测试难度，骗过测试

sign参数显然不能修复越权问题，因为攻击者可以修改完报文后，再重新签名。难点在于找到签名算法

只有一种情况下可以使用签名来修复越权问题

那就是前后端不分离的情况下，请求jsp或html页面时，后端计算出签名。而非前端计算，这样签名算法就不会泄露，而sign也具有了token性质。

其它情况下，无论水平还是垂直越权，都能修改报文后重签名。