Question

Во многих случаях сервисы EJB доставляют объекты из красной базы данных за JPA. Например, прочитайте адрес клиента, сделайте некоторые изменения и сохраните его через службу адресов EJB снова в базе данных (em.merge). Таким образом, если служба EJB является бесстатной (и я думаю, что все вы сделали бы это без сохранения состояния), существует проблема безопасности, потому что клиент может изменить идентификатор адреса и другой адрес. Есть шаблон для этой проблемы или какие-нибудь хорошие идеи?

Gonzalo Garcia Lasurtegui · Answer 1 · 17 января 2012

Возможно, вам необходимо реализовать концепцию разрешений в вашей системе.

Сначала вам необходимо определить, какие правила определяют, кто может изменять адрес (например, адрес может изменять только пользователь, который живет).в городе, к которому принадлежит адрес), а затем внедрите его в свой бизнес-уровень.Я думаю, что ответ на ваш вопрос может быть таким же сложным, как и ваши бизнес-правила.

Возвращаясь к предоставленному вами примеру, если клиент изменяет случайный идентификатор, как вы предлагаете, он не принесет особой пользы, поскольку идентификаторыобычно генерируется автоматически, но, конечно же, вам нужно позаботиться об этих аспектах в своем приложении.

Безопасность Enity ID и EJB Services

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Безопасность Enity ID и EJB Services

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов