ユーザーが他のユーザーのデータを変更しないようにするにはどうすればよいですか？

Question

シナリオ：ユーザーが写真をアップロードできる写真共有サイト。ユーザーは自分の写真を削除または編集できます。 deleteメソッドとeditメソッドはPostメソッドです。これらのメソッドは写真IDを使用して写真の位置を特定し、変更します。写真は、次のような現在の認証されたユーザー情報によって取得されます。SecurityContextHolder.getContext().getAuthentication();

したがって、ユーザーAがユーザーBの写真IDを削除したい場合、AはJavaScriptを使用してポストメソッドを書き込み、ユーザーBの写真を削除します。

これは可能ですか？あるいは、この練習は問題がありますか？

Answer 1

権限に基づいて削除できるサービス層を作成する必要があります。

これにより、ユーザーは削除すべきではないアセットを削除できなくなります。

それぞれの要求は、これを検証して、削除できないユーザーを確実に確認します。

あなたのドメインがどのように権限を管理しているかによって、アセットに特定の所有者がある場合はSecurityContextHolderを使用できます。それ以外の場合は独自のロジックを実装する必要があります。