spring-boot - Spring Boot 保护用户数据 URL 修改
问题描述
我正在使用带有安全性的 spirng boot 来创建习惯跟踪器。我得到了我的数据库、用户和目标。问题是我可以访问其他用户目标并通过更改 URL 中的目标 ID 来编辑它们。
解决办法是什么?我应该对网址进行编码还是做其他事情?
解决方案
这些就是所谓的 ACL。对于复杂的应用程序,请阅读此处:https ://docs.spring.io/spring-security/site/docs/current/reference/html5/#domain-acls
为了方便 id chicking,您可以使用方法级别的安全性,例如。@PreAuthorize。这里:https ://docs.spring.io/spring-security/site/docs/current/reference/html5/#el-pre-post-annotations
推荐阅读
- angular - 使用 --user 将 curl 请求转换为 angular http
- azure - 无法将 Azure 仪表板卡设置为使用“在查询中设置”
- node.js - 通过 webdriver.io 运行时,如何找到失败的 cucumber-js 步骤的行号?
- android - Android Emulator 的 Overlay 占据 Linux 桌面的区域
- webpack - 使用 webpack-dev-server 时 msw 初始化的公共目录应该是什么?
- arrays - 图像未显示在反应中
- jmeter - 有没有办法在jmeter的仪表板报告中分离不同列中的数据
- embedded-linux - 我们可以同时使用 openembedded-core 和 meta-openembedded 子模块吗?或 openembedded-core 现在是 meta-openembedded 的子集
- javascript - 如何隐藏整个类而不产生错误
- python - 当管道被手动取消时,如何停止代理进程?