весенняя безопасность манипулирует переменной сеанса

Question

с пружинной защитой. Я защищаю контроллеры в grails с помощью аннотации.

У меня есть проекты, связанные с пользователями в моей модели

Вопрос: если кто-то пытается манипулировать, например, projectId (хранится как сессия var) возможно ли, что он может просматривать проекты, которые не связаны с вошедшим в систему пользователем?

Я мог бы проверять каждый раз, принадлежит ли projectID в сеансе зарегистрированному пользователю или делать хэш безопасности для projectID, чтобы сделать его труднееманипулировать, но я думаю, что это излишество?!

Другой подход может заключаться в том, что пользователи в моем приложении также являются пользователями БД, поэтому они ограничены БД для доступа к другим данным ... просто идея друга, ноЯ думаю, также излишним ...

Я знаю, что сессия var является серверной, но я не уверен, если его сохранить для манипулирования пользователем ...

mybe мне не нужно заботиться оэто мысли ...

Answer 1

Я не совсем уверен, каков ваш настоящий вопрос, так как за вашим постом трудно следить, но если вам нужен контроль безопасности на уровне экземпляра, вам следует использовать функцию списков контроля доступа, которую предоставляет Spring Security. Это ТОННА накладных расходов на приложения, особенно с ростом числа экземпляров, которые вам нужно защитить, но это не даст людям увидеть неправильные вещи.

Тем не менее, если есть другие способы ограничения доступа к сущностям, такие как простое правило SpEL, вы часто обнаружите, что у вас гораздо более чистая, более простая структура безопасности.