你這是兩個問題

第一個問題：必須手動添加，不然誰知道你有什么鏈接了

第二個問題：你自己要做好業務判斷，這個id是不是屬于某個人的，當前登錄人的uid ?你是知道了

由于session是存在服務端的，所以可以使用session固定角色，與角色對應的權限就相對固定了，哪怕你篡改ID，可以每次監聽session字段的用戶信息，對比當前傳入的信息，有變化就去登錄，這樣就防止了權限篡改，至于第一個方法，直接判斷模型和控制器，不去管action，可以實現一定程度上的偽打包功能，但是那樣很不安全，所以最好每個權限對應到action，這樣，無論用戶哪個操作都可以精細的控制到了。