在 jhipster 中通过 id 限制 URL 访问控制
Restrict URL access control by id in jhipster
我有一个问题,每个用户都可以从 URL 检索其他用户的数据。
比如我这样休息api:
@GetMapping("/getFindByPersonId/{perId}")
@Timed
public List<ComboVahedAmoozeshi> getFindBySkhsIdCombo(@PathVariable Long perId){
return comboVahedAmoozeshiRepository.getFindBySkhsIdCombo(perId);
}
授权后,每个用户都可以更改id并获取其他用户的数据,如下图:
是否有任何建议限制每个用户无权调用该方法?或者 Jhipster 有使用 UUId 隐藏 id 的选项吗?
感谢@atomferede 的正确答案。我必须在其他实体中添加 jhi_user_id 并使用 @postfilter 注释来限制用户对数据的访问。
虽然,在 jhipster 生成器中使用此选项可能是个好主意,以提高安全级别并加快实施速度。
我有一个问题,每个用户都可以从 URL 检索其他用户的数据。
比如我这样休息api:
@GetMapping("/getFindByPersonId/{perId}")
@Timed
public List<ComboVahedAmoozeshi> getFindBySkhsIdCombo(@PathVariable Long perId){
return comboVahedAmoozeshiRepository.getFindBySkhsIdCombo(perId);
}
授权后,每个用户都可以更改id并获取其他用户的数据,如下图:
是否有任何建议限制每个用户无权调用该方法?或者 Jhipster 有使用 UUId 隐藏 id 的选项吗?
感谢@atomferede 的正确答案。我必须在其他实体中添加 jhi_user_id 并使用 @postfilter 注释来限制用户对数据的访问。 虽然,在 jhipster 生成器中使用此选项可能是个好主意,以提高安全级别并加快实施速度。