在许多情况下,EJB服务根据JPA从数据库中提供红色。 例如,读取客户地址进行一些更改并通过EJB地址服务再次在数据库(em.merge)中保存。因此,如果EJB服务是无定义的(并且我认为你们所有人都会做无状态的话)就会出现安全问题,因为客户端可以更改地址ID并更改另一个地址。这个问题或任何好主意是否存在模式?
答案 0 :(得分:0)
您可能需要在系统中实现权限概念。
您首先需要定义哪些规则可以确定谁可以更改地址(例如,地址只能由居住在该地址所属城市的用户修改),然后在您的业务层中实施。我认为您的问题的答案可能与您的业务规则一样复杂。
回到您提供的示例,如果客户按照您的建议修改了随机ID,那么因为ID通常是自动生成的,所以没什么好处,但当然您需要在应用中处理这些方面