WedX - журнал о программировании и компьютерных науках

Как запретить пользователям изменять данные других пользователей?

Сценарий: Веб-сайт для обмена фотографиями, который позволяет пользователям загружать изображения. Пользователи могут удалять или редактировать свои фотографии. Методы удаления и редактирования — это методы Post. Эти методы используют идентификатор фотографии, чтобы найти фотографию и изменить ее. Фотографии получены с помощью текущей аутентифицированной пользовательской информации, такой как: SecurityContextHolder.getContext().getAuthentication();

Так что, если пользователь A хочет удалить идентификатор фотографии пользователя B, а A пишет метод публикации с помощью JavaScript и удаляет фотографию пользователя B.

Это возможно? Или эта практика проблематична?

java security spring-security
18.03.2016

Ответы:


1

Вам нужно будет написать сервисный уровень, который позволяет удалять на основе разрешений.

Это помешает пользователям удалять активы, которые им не следует делать.

Каждый запрос будет проверять это, чтобы гарантировать, что пользователь, у которого нет прав на удаление, не может.

Все зависит от того, как ваш домен управляет разрешениями, если у активов есть определенные владельцы, вы можете использовать SecurityContextHolder, в противном случае вам нужно реализовать свою собственную логику.

18.03.2016
  • То, как я рассматривал, заключается в том, чтобы иметь столбец user_id в таблице фотографий и проверять, принадлежит ли фотография текущему аутентифицированному пользователю. Но я думаю, что это тратит много ресурсов, что приводит к большому количеству операций с базой данных. 19.03.2016
  • @ Тонг На самом деле я думаю, что это довольно справедливое решение. Это гарантирует, что только владелец может внести изменения. 19.03.2016
  • @Tong Одна база данных, прочитанная, когда у вас уже есть фотография в области видимости, - это простое сравнение. Совсем не пустая трата ресурсов. 19.03.2016
  • Да. Но если есть больше доменных классов. Скажем есть фото, альбом, видео. Мне нужно связать каждый класс с пользователем? 19.03.2016
  • @Tong Тогда на самом деле все зависит от того, как вы проектируете домен. У вас может быть владелец (пользователь), связанный с каждым объектом, например внешний ключ. Использование чего-то вроде JPA создаст эти соединения для вас. На самом деле нет правильного ответа, это то, что подходит для реализации. 19.03.2016
  • Спасибо Geditdk. Я думаю, что для некоторых простых случаев этого метода достаточно. Но для некоторых более сложных случаев нам может понадобиться Control Access List. Я впервые слышу об этом. Я это проверю. 22.03.2016
    • Новые материалы
    Объяснение документов 02: BERT
    BERT представил двухступенчатую структуру обучения: предварительное обучение и тонкая настройка. Во время предварительного обучения модель обучается на неразмеченных данных с помощью..
    Как проанализировать работу вашего классификатора?
    Не всегда просто знать, какие показатели использовать С развитием глубокого обучения все больше и больше людей учатся обучать свой первый классификатор. Но как только вы закончите..
    Работа с цепями Маркова, часть 4 (Машинное обучение)
    Нелинейные цепи Маркова с агрегатором и их приложения (arXiv) Автор : Бар Лайт Аннотация: Изучаются свойства подкласса случайных процессов, называемых дискретными нелинейными цепями Маркова..
    Crazy Laravel Livewire упростил мне создание электронной коммерции (панель администратора и API) [Часть 3]
    Как вы сегодня, ребята? В этой части мы создадим CRUD для данных о продукте. Думаю, в этой части я не буду слишком много делиться теорией, но чаще буду делиться своим кодом. Потому что..
    Использование машинного обучения и Python для классификации 1000 сезонов новичков MLB Hitter
    Чему может научиться машина, глядя на сезоны новичков 1000 игроков MLB? Это то, что исследует это приложение. В этом процессе мы будем использовать неконтролируемое обучение, чтобы..
    Учебные заметки: создание моего первого пакета Node.js
    Это мои обучающие заметки, когда я научился создавать свой самый первый пакет Node.js, распространяемый через npm. Оглавление Глоссарий I. Новый пакет 1.1 советы по инициализации..
    Забудьте о Matplotlib: улучшите визуализацию данных с помощью умопомрачительных функций Seaborn!
    Примечание. Эта запись в блоге предполагает базовое знакомство с Python и концепциями анализа данных. Привет, энтузиасты данных! Добро пожаловать в мой блог, где я расскажу о невероятных..
    Для любых предложений по сайту: [email protected]