代码之家  ›  专栏  ›  技术社区  ›  Andy Verbunt

如何防止Spring JPA+Spring REST+jHipster中的恶意输入

spring-rest jhipster spring-data jpa spring
  •  0
  • Andy Verbunt  · 技术社区  · 9 年前

    我是Spring JPA/jHipster的新手。 我的问题灵感来自朱利安·杜波依斯的jHipster演讲: https://youtu.be/R3jm2qmqctI?t=43m7s

    假设你有一个银行账户,上面有操作(餐厅+100美元,自动取款机-50美元,…) 当然,每个银行账户都有一个所有者。

    创建操作的POST REST调用的负载可能如下所示: {“amount”:100,“description”:“restaurant”,“bankaccount”:{“id”:1136}}

    银行账户的id是唯一的,(为了这个示例)可能会通过另一个REST调用发送给我。

    不幸的是,没有什么可以阻止恶意用户更改此值。人们可以简单地猜测他人拥有的银行账户的id,然后将操作添加到该账户。

    我还没有看到处理这个问题的例子。
    我是否应该明确检查银行帐户是否为用户所有? 我想,这种类型的验证可能会在您的所有实体中级联,导致大量额外的调用。 也许我错过了什么?

    谢谢 安迪

    1 回复  |  直到 9 年前
        1
  •  0
  •   Gaël Marziou    9 年前

    是的,您有责任在REST控制器或基础服务中检查操作是否被授权。弹簧安全提供d ifferent mechanisms to do it 特别是通过使用@PreAuthorize和@PostFilter。

    使用DTO也是一件好事,这样您可以更好地控制实体的哪些字段通过API进行读写。

    推荐文章
    springbootlearner  ·  我们可以在同一个应用程序中同时使用MongoRepository和MongoTemplate吗
    6 年前
    iAshay  ·  设置bean属性“mongoOperations”时,无法解析对bean“mongoTemplate”的引用
    7 年前
    Davi Resio  ·  联系该实体的最佳方式是什么
    7 年前
    ssc-hrep3  ·  Spring/Hibernate:双向映射,仅用于JPQL查询,无需同步
    7 年前
    Damien  ·  如何判断JPA save方法执行了什么操作
    7 年前
    Yottabyte  ·  Spring data save vs saveAll性能
    7 年前
    Srinath S  ·  如何查找spring类的xml文件的属性名?
    7 年前
    Kruspe  ·  具有悲观写锁的可重复读隔离级别
    7 年前
    Jeterson Miranda Gomes  ·  如何将我的自定义名称设置为JPA中的foreing键
    7 年前
    italktothewind  ·  带有Spring数据的MongoDB-来自驱动程序的重复查询
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号