0
假設,在我的系統中,用戶想要更改他的密碼。他發送PUT請求,然後請求UserRepository.save()。如果他侵入請求,他可能會設置[user].admin_rights=1或類似的。如何使用Spring JPA保存防止安全風險?
現在,我大概可以添加@Column(updatable=false)到各個領域:
@Entity public class User {
@Column(updatable=false) private Boolean admin_rights;
// ....
,但管理員可能需要更新此字段中的一個一天!
我是否需要爲此編寫自定義查詢,指定要更新哪些列?或者有沒有辦法在User實體內解決這個權限問題?
檢查彈簧安全性,特別是可能使用'@ PreAuthorize'截取。 – CollinD