Как запретить пользователям изменять данные других пользователей?

Question

Сценарий: сайт для обмена фотографиями, который позволяет пользователям загружать фотографии. Пользователи могут удалять или редактировать свои фотографии. Способы удаления и редактирования - это методы Post. Эти методы используют идентификатор фотографии, чтобы найти фотографию и изменить ее. Фотографии получаются с помощью текущей аутентифицированной информации пользователя, например: SecurityContextHolder.getContext().getAuthentication();

Так что, если пользователь A хочет удалить идентификатор фотографии пользователя B, а A пишет почтовый метод с JavaScript и удаляет фотографию пользователя B.

Возможно ли это? Или эта практика проблематична?

Answer 1

Вам нужно будет написать сервисный уровень, который позволяет удалять на основе разрешений.

Это не позволит пользователям удалять активы, которых они не должны.

Каждый запрос будет проверять это, чтобы гарантировать, что пользователь, который не имеет прав на удаление канта.

Все зависит от того, как ваш домен управляет разрешением, если у активов есть определенные владельцы, тогда вы можете использовать SecurityContextHolder, иначе вам нужно реализовать свою собственную логику.