弹簧安全操纵会话变量

Question

与弹簧安全我通过注释在grails中保护控制器。

我在我的潜行与用户相关的项目

问：如果有人试图操纵即专案编号（存储会话变量）是有可能，他可以查看到登录的用户这是不相关的项目？

我可以每次检查会话中的projectID是否属于登录的用户，或者对projectID执行安全哈希以使操作更难，但我认为它是一种矫枉过正？！

的其他approache可能是让他们通过DB访问其他数据...只是朋友的想法限制的，但是我想还有矫枉过正我的应用程序用户以及用户DB ...

我知道会话变种是服务器端但林不知道，如果其保存以供用户操作...

mybe我没有在意这个想法...

Answer 1

我不能完全肯定你真正的问题是什么，因为你的帖子很难遵循，但是如果你需要实例级的安全控制，你应该使用访问控制列表fea Spring Security提供的。这是一个应用程序开销的总和，特别是随着您需要保护的实例数量增加，但它会阻止人们看到错误的东西。这就是说，如果还有其他方法可以限制对实体的访问，比如简单的SpEL规则，那么你会经常发现你有一个更简洁，更简单的安全结构。