彈簧安全操縱會話變量

Question

與彈簧安全我通過註釋在grails中保護控制器。

我在我的潛行與用戶相關的項目

問：如果有人試圖操縱即專案編號（存儲會話變量）是有可能，他可以查看到登錄的用戶這是不相關的項目？

我可以每次檢查會話中的projectID是否屬於登錄的用戶，或者對projectID執行安全哈希以使操作更難，但我認爲它是一種矯枉過正？！

的其他approache可能是讓他們通過DB訪問其他數據...只是朋友的想法限制的，但是我想還有矯枉過正我的應用程序用戶以及用戶DB ...

我知道會話變種是服務器端但林不知道，如果其保存以供用戶操作...

mybe我沒有在意這個想法...

Answer 1

我不能完全肯定你真正的問題是什麼，因爲你的帖子很難遵循，但是如果你需要實例級的安全控制，你應該使用訪問控制列表fea Spring Security提供的。這是一個應用程序開銷的總和，特別是隨着您需要保護的實例數量增加，但它會阻止人們看到錯誤的東西。這就是說，如果還有其他方法可以限制對實體的訪問，比如簡單的SpEL規則，那麼你會經常發現你有一個更簡潔，更簡單的安全結構。