我正在使用具有安全性的spirng引导程序来创建习惯跟踪器。我得到了数据库,用户和目标。问题是我可以访问其他用户目标并通过更改URL中的目标ID对其进行编辑。
解决方案是什么?我应该对网址进行编码还是做其他事情?
答案 0 :(得分:0)
这些就是所谓的ACL。对于复杂的应用程序,请阅读此处:https://docs.spring.io/spring-security/site/docs/current/reference/html5/#domain-acls
为了轻松进行ID识别,您可以使用方法级安全性,例如。 @PreAuthorize。 此处:https://docs.spring.io/spring-security/site/docs/current/reference/html5/#el-pre-post-annotations