В принципе, вы никогда не можете доверять клиенту. Вам приходится иметь дело с манипулированными данными.
Это означает, что вам всегда нужно проверять запросы клиентов, несмотря ни на что.
На высоком уровне существует множество решений для такого рода проблем.
1) Для меня это типичное не обновляемое поле, потому что тот, кто создал что-то, никогда не меняется.
1a) в JPA столбец может быть помечен updatable=false, поэтому это всегда будет игнорироваться для операции слияния.
1b) другой вариант - сначала загрузить элемент из памяти и использовать только атрибуты из запроса, который вы разрешаете сохранить для этого бизнес-случая, скопируйте допустимые значения в загруженный элемент и объедините загруженный элемент с базой данных.
2.) в других случаях, например, для обновляемого поля, вам необходимо перепроверить, соответствует ли аутентифицированный пользователь обновлен по идентификатору. если не выдвигать исключение / 401, что угодно.
3.) Думаю, это больше подходит к вашему решению. Я также предлагаю не переносить все данные, которые хранятся для элемента, лучше использовать Transfer Object или Use Case Objects. Используя объекты переноса или объекты прецедента, он фактически скрывает данные, потому что вы переносите только выделенные данные. Это также рекомендация по безопасности, потому что некоторые данные вы просто не хотите никому показывать, поэтому, если вы прячете их на стороне клиента, но если они уже отправлены клиенту, опытный пользователь всегда может сделать данные видимыми при проверке или манипуляция. Только представьте, что вы отправляете информацию о зарплате о человеке каждый раз, когда отображаете человека ... Широко используемым решением для сопоставления объектов данных для передачи объектов и обратно является библиотека mapstruct.
Надеюсь, это поможет найти хорошее решение .