我正在用java創建一個web應用程序。它處理在應用程序中建模的多個業務對象。每個對象在數據庫中都有與之關聯的表。我想展示特定對象的細節,比如說。學生對用戶。爲此,我正在向服務器發送ajax請求並將UserId作爲輸入參數傳遞。在僞代碼看起來類似如下:java web應用程序中的不安全對象引用
1) Get StudentId from request.
2) Fetch Student details from db for given studentId
3) Send the student data as response to the user
我要的是,StudentId不能使用,而不是一個隨機數或其他任何可以使用,可以在服務器端和被映射到學生證因此學生的細節被提取併發送給客戶。我希望這樣,即使studentId被用戶修改/修改,作爲查詢字符串的一部分,用戶也不會獲得任何其他學生數據,因此會向其顯示錯誤消息。
爲什麼不驗證當前用戶被允許訪問,而不是給定的學生嗎? –
也許有用:http://stackoverflow.com/questions/35817200/accessing-url-with-params-in-spring-security – holmis83
使用Spring Security ACL –