在jhipster中通过id限制url访问控制

qf9go6mv  于 2021-07-07  发布在  Java
关注(0)|答案(1)|浏览(360)

我有一个问题,每个用户可以检索其他用户的数据从网址。
例如,我有这样一个rest api:

@GetMapping("/getFindByPersonId/{perId}")
@Timed
public List<ComboVahedAmoozeshi> getFindBySkhsIdCombo(@PathVariable Long perId){
    return comboVahedAmoozeshiRepository.getFindBySkhsIdCombo(perId);
}

授权后,每个用户都可以更改id并获取其他用户的数据,如下图所示:

是否有任何建议限制每个用户都无权调用该方法?或者jhipster有没有使用uuid隐藏id的选项?

ilmyapht

ilmyapht1#

感谢@atomferede的正确回答。我必须在其他实体中添加jhi\u user\u id,并使用@postfilter注解来限制用户对数据的访问。不过,在jhipster generator中使用此选项可能是一个好主意,可以提高安全级别并加快实现速度。

相关问题