你这是两个问题

第一个问题：必须手动添加，不然谁知道你有什么链接了

第二个问题：你自己要做好业务判断，这个id是不是属于某个人的，当前登录人的uid  你是知道了

由于session是存在服务端的，所以可以使用session固定角色，与角色对应的权限就相对固定了，哪怕你篡改ID，可以每次监听session字段的用户信息，对比当前传入的信息，有变化就去登录，这样就防止了权限篡改，至于第一个方法，直接判断模型和控制器，不去管action，可以实现一定程度上的伪打包功能，但是那样很不安全，所以最好每个权限对应到action，这样，无论用户哪个操作都可以精细的控制到了。