Запретить пользователю изменять идентификатор перед обновлением в WebApps

Question

Это общий вопрос.

У меня есть сомнения в отношении идентификаторов в операциях CRUD и других действиях, в которых должен быть отправлен идентификатор.

Я имею в виду, что независимо от того, какая технология используется, результатом будет html-форма, в которой идентификатор будет находиться во входном поле внутри формы (возможно, из-за тусклой, скрытой, но всегда присутствует). Учитывая этот способ, пользователь может модифицировать entityId с помощью firebug (например) и отправить форму с другим идентификатором, это позволит пользователю обновлять или даже удалять запись, которая не была оригинальной.

<form> 
    <input id="entityId" type="hidden"/> 
    <input id="someName" type="button"/> 
</form> 

Как я могу справиться с этой ситуацией? Первым решением, которое я пытаюсь сделать, является select by userId и entityId, поэтому я могу позволить пользователю обновлять только свои собственные записи, НО он все равно может изменить идентификатор и внести изменения в другие записи, принадлежащие ему.

Как я могу ограничить больше пользователя внесением изменений только в записи, показанной веб-приложением?

Заранее спасибо

Answer 1

Похоже, вы не должны писать Индентификационный в веб-форму, но вместо того, чтобы сохранить его в сеансе пользователя на сервере.

Использование

request.getSession().setAttribute(name, value); 

, чтобы установить его, и

request.getSession().getAttribute(name); 

читать.

Таким образом, это не может быть подделано.

Если вам нужно разрешить несколько форм (и записей) с помощью одного сеанса, вы можете отслеживать их в наборе, прикрепленном к сеансу.