我希望能够获得Spring MVC应用程序的一些帮助。这是我使用Spring Framework的第一个基于CRUD的应用程序,我对在我的数据上执行某些CRUD操作的安全性有一些担忧。例如,我导航到一个页面,我可以在其中单击数据库中的任何对象列表,然后使用GET请求在“编辑”页面上获取此特定对象的信息。
虽然,当重定向到“编辑”页面时,在URL中显示该对象的ID值(edit?id=1),这是一个值得关注的问题,因为用户可以操作GET中传递的id参数请求并获取不属于它们的对象。我怎样才能防止这种情况发生?
除此之外,例如,一旦用户猜出ID值,他们就可以操纵信息,然后对该对象执行和更新,即使它不属于它们。防范此类安全的最佳做法是什么?这可能是一个简单的解决方案,因此所有答案都将受到赞赏。