1. java
  2. android
  3. c#
  4. .net
  5. javascript
  6. php
  7. jquery
  8. html
  9. sql

Como prevenir que usuários acesses registros que não são deles

Estou escrevendo uma alteração no sistema que trabalho onde preciso que proteger acesso aos registros de outros usuários. Basicamente possuo uma navegação via get ($controller/$action/$id) para editar ou acessar um determinado registro. Dentro das controladores possuo algo semelhante a isto:

getResource(Long id) { return Resource.get(id); }

Nitidamente este método não é seguro pois basta enviar para o servidor um código válido que ele retorna o objeto. Ocorre que se eu criei este objeto, apenas eu deveria ter acesso a ele, não podendo outro usuário acessar ele de forma alguma. Em minhas pesquisas encontrei o Spring Security ACL, minha aplicação usa versão 2 do spring security, tive um pouco de dificuldade em compreender seu funcionamento mas me pareceu adequado a minha necessidade.

A minha dúvida no momento é se existiria outra forma eficiente de fazer esta segurança e se alguém já usou o ACL, como o colocou em um projeto já rodando. Pois já tenho registros cadastrados no sistema e na documentação não fica muito claro como a implementação se comporta neste caso.

  1. Você vai ver essas setas em qualquer página de pergunta. Com elas, você pode dizer se uma pergunta ou uma resposta foram relevantes ou não.
  2. Edite sua pergunta ou resposta caso queira alterar ou adicionar detalhes.
  3. Caso haja alguma dúvida sobre a pergunta, adicione um comentário. O espaço de respostas deve ser utilizado apenas para responder a pergunta.
  4. Se o autor da pergunta marcar uma resposta como solucionada, esta marca aparecerá.
  5. Clique aqui para mais detalhes sobre o funcionamento do GUJ!

0 resposta

Não é a resposta que estava procurando? Procure outras perguntas com as tags spring-security ou faça a sua própria pergunta.