0
与弹簧安全我通过注释在grails中保护控制器。弹簧安全操纵会话变量
我在我的潜行与用户相关的项目
问:如果有人试图操纵即专案编号(存储会话变量)是有可能,他可以查看到登录的用户这是不相关的项目?
我可以每次检查会话中的projectID是否属于登录的用户,或者对projectID执行安全哈希以使操作更难,但我认为它是一种矫枉过正?!
的其他approache可能是让他们通过DB访问其他数据...只是朋友的想法限制的,但是我想还有矫枉过正我的应用程序用户以及用户DB ...
我知道会话变种是服务器端但林不知道,如果其保存以供用户操作...
mybe我没有在意这个想法...