我有一个spring boot应用程序。
用户可以登录到应用程序,也可以编辑自己的配置文件。
问题是,用户也可以编辑其他用户的个人资料。
例如,用户自己的个人资料编辑链接:
http://localhost/users/edit/1001但他也可以接触到其他用户的个人资料,比如;
http://localhost/users/edit/2001
http://localhost/users/edit/10
http://localhost/users/edit/5000您是否知道预防此问题的最佳实践是什么?
发布于 2018-10-23 20:11:45
发布于 2018-10-23 19:57:09
您可以做的是,您可以使用主体从数据库获取user_id,并将其与传递的user_id进行比较,如果两个if都不匹配,则将用户重定向到unauthorized页面。
发布于 2018-10-23 20:21:09
我不会向用户公开/edit端点……我会创建一个/profile/edit端点,并始终路由到当前登录的用户,并将用户编辑留给管理仪表板(一个内部工具)。
https://stackoverflow.com/questions/52948401
复制相似问题