HTTP 简洁权限设计，防止私有资源被访问

无权访问应当响应401 Unauthorized

权限系统 纵横的 不仅要垂直权限 也需要设计水平权限
你的提问中明显可以看出没有水平权限的设计

最简单的 如果是私有 不考虑用户角色和组的情况下，对比资源作者和登录用户是否匹配

这个懒偷不得的，在 /topic/1 验证当前登陆用户的session

一直以来开发都是用文章里的“修复方案2”，这好像比较符合开发的习惯性思维.
还有文章里的“修复方案3”用token的方式，如果是网页的ajax或表单请求，token=md5(addressId+sessionId+key)这个生成方式应该是暴露在前端的js中的吧，那如果addressId还是自增id的形式，这个生成token好像没啥意义，知道生成方式后一样改个addressId生成token，是不是也能通过token校验？

权限设置是集中到一个配置文件好呢,还是象yii那样分散到每个action里面好呢?

@caixiexin 方案3还是有值得思考的地方的，暴露是一个。另一种情况是已经登录的情况下，直接在url中访问属于当前用户的另一个资源，那这个addressId就没有了，也就访问不到了。

@jedrek 我觉得想利用漏洞的人，应该不会仅限于改个url，最起码也会F12看下js里的认证逻辑嘛。不是有句话叫：“用户永远是最不安全不可控的一个环节”：）

@caixiexin 还有永远不要信任用户输入

权限本来就是一种业务啊，当然会带到业务中来