0
與彈簧安全我通過註釋在grails中保護控制器。彈簧安全操縱會話變量
我在我的潛行與用戶相關的項目
問:如果有人試圖操縱即專案編號(存儲會話變量)是有可能,他可以查看到登錄的用戶這是不相關的項目?
我可以每次檢查會話中的projectID是否屬於登錄的用戶,或者對projectID執行安全哈希以使操作更難,但我認爲它是一種矯枉過正?!
的其他approache可能是讓他們通過DB訪問其他數據...只是朋友的想法限制的,但是我想還有矯枉過正我的應用程序用戶以及用戶DB ...
我知道會話變種是服務器端但林不知道,如果其保存以供用戶操作...
mybe我沒有在意這個想法...