保护 URL 安全的最佳方法是什么？

Question

我使用 spring-mvc 开发一个简单的网站。问题是保护 url 安全的最佳方法是什么？ 例如，我有用户和注释。用户只能编辑/删除自己的笔记。 用户使用 localhost/note/edit/1 链接编辑注释，

但我不希望其他用户仅更改 id 参数并查看其他注释。

在这些情况下如何保护 url 的安全？

Answer 1

然后，您需要在编辑页面的开头检查登录者的用户 ID 是否与数据所有者的用户 ID 匹配。

Answer 2

由于您使用的是 Spring 并且希望根据用户 ID 进行授权决策，因此您应该阅读 Spring 访问控制。

要使用表达式来保护单个 URL，您首先需要将元素中的 use-expressions 属性设置为 true。然后，Spring Security 将期望元素的访问属性包含 Spring EL 表达式。这些表达式的计算结果应为布尔值，定义是否允许访问。

但还有很多其他方法来处理授权。不要养成假设用户 ID 是做出这些决定的最佳方式的习惯。阅读“从 ABAC 到 ZBAC” 了解替代方案。