我有一个问题,每个用户可以检索其他用户的数据从网址。
例如,我有这样一个rest api:
@GetMapping("/getFindByPersonId/{perId}")
@Timed
public List<ComboVahedAmoozeshi> getFindBySkhsIdCombo(@PathVariable Long perId){
return comboVahedAmoozeshiRepository.getFindBySkhsIdCombo(perId);
}授权后,每个用户都可以更改id并获取其他用户的数据,如下图所示:
是否有任何建议限制每个用户都无权调用该方法?或者jhipster有没有使用uuid隐藏id的选项?
1条答案
按热度按时间ilmyapht1#
感谢@atomferede的正确回答。我必须在其他实体中添加jhi\u user\u id,并使用@postfilter注解来限制用户对数据的访问。不过,在jhipster generator中使用此选项可能是一个好主意,可以提高安全级别并加快实现速度。