我有一个应用程序和API。我正在使用Spring和Spring安全性。访问API需要身份验证。
我配置RESTFUL Web服务仅在身份验证成功时进行响应(登录后使用JSESSIONID处理),这使得如果用户未登录或凭据错误,则无法查询数据库。但不知何故,我需要访问数据库并对忘记密码进行一些更改。我需要检查请求的电子邮件是否在记录中。此外,更改密码后更新数据库。例如;如果我制作' UPDATE USER'行动permitAll(),会出现安全问题。
你能给我一些处理这个问题的想法吗?
答案 0 :(得分:0)
您可以创建一些具有更改密码权限的用户,稍后在更改密码时自动登录此用户 - >发送请求 - >注销用户以及用户视图后面的所有内容。