这个要看api接口的封装吧。你们是怎么设计的?
白名单 + 预编译 + 基于 RBAC 的权限控制 + 严格参数格式检查,已通过腾讯内部安全质检https://github.com/Tencent/APIJSON/issues/12
APIJSONDemo 系列关了部分校验,可以不用配置权限等,方便新手上手https://github.com/Tencent/APIJSON/issues/310