с весной безопасности я защищаю контроллеры в grails по аннотации.Весна безопасности манипулировать переменной сеанса
У меня есть проекты, связанные с пользователями в моем Моделле
Вопрос: если кто-то пытается манипулировать т.е. ProjectID (хранятся в сессии вара) возможно он может просматривать проекты, которые не связаны с вошедшим пользователем?
Я могу проверять каждый раз, если projectID в сеансе принадлежит зарегистрированному пользователю или имеет хэш безопасности на идентификаторе projectID, чтобы сделать его более трудным для манипулирования, но я думаю, что его избыток!
Другой approache может быть, что пользователи в моем приложении, как хорошо БД пользователей, поэтому они ограничены БД для доступа к другим данным ... только идее о других, но я думаю, а излишество ...
Я знаю, что сеанс ВДП, но на стороне сервера им не уверен, если его сохранить для работы с пользователем ...
Mybe я не должен заботиться об этом мысли ...