エンティティIDとEJBサービスのセキュリティ

Question

多くの場合、EJBサービスはJPAごとにデータベースからエンティティを赤で配信します。 たとえば、顧客アドレスを読み取って変更を加え、データベース（em.merge）でEJBアドレスサービス経由で再度保存します。ですから、EJBサービスがstatelessであれば、クライアントはアドレスidを変更して別のアドレスを変更することができるので、セキュリティ上の問題があります。この問題や良いアイデアのパターンはありますか？

Answer 1

おそらく、あなたのシステムではアクセス許可の概念を実装する必要があります。

住所を変更できるユーザーを決定するルールを定義する必要があります（たとえば、アドレスは、その住所が所属する市区町村に住むユーザーのみが変更できます）。次にビジネスレイヤーに実装します。あなたの質問の答えはあなたのビジネスルールと同じくらい複雑なものになると思います。

あなたが提供する例に戻って、お客様が提案したようにランダムなIDを変更した場合、IDは通常自動的に生成されるのでほとんど効果がありませんが、もちろんあなたのアプリ。