Security Play框架中的安全JPA绑定
我有一页:Security Play框架中的安全JPA绑定,security,jpa,binding,playframework,Security,Jpa,Binding,Playframework,我有一页: <input type="hidden" name="user.id" value="123" /> <input type="text" name="user.name" value="John" /> Play通过user.id参数从数据库中加载用户实体,将HTTP参数绑定到对象,操作将其保存 这对于受信任的用户(如管理员)来说是可以的,但不受信任的用户可以将HTTP参数更改为: ?user.id=456&user.name=John 从而编辑
<input type="hidden" name="user.id" value="123" />
<input type="text" name="user.name" value="John" />
?user.id=456&user.name=John
我想到了一个解决办法。我将把一个签名的id作为令牌发送给每个实体,并在绑定期间检查它。您将如何实现此功能?您可以在控制器中使用CheckAuthentity方法来检查提交表单的真实性
在服务器代码中,您还必须检查用户是否具有更新这些实体的权限。这可以通过在jpa查询中向用户表添加联接来实现,这样您不仅可以在对象id上进行选择,还可以在连接的用户上进行选择。您必须确保只有经过身份验证的用户才能调用save。单程游戏!允许您使用
@Before@Before(unless={"login", "authenticate"})
static void checkAuthenticated() {
if(!session.contains("user")) {
login();
}
}
usersave(),除非仅上面的代码来自剧本中的代码!文档我已经使用过一次,到目前为止,它似乎工作得很好。据我所知,您需要的是身份验证和授权 身份验证告诉您该用户是谁,您可以通过pHk应答来执行此操作或使用 如果您想要管理授权(用户可以做什么,在您的情况下,用户可以更新什么对象),我建议您查看该模块
它基于安全模块,但基于drools的规则为您提供了所需的所有灵活性。我将尝试澄清我在问题末尾提出的解决方案,该方案通常可以解决此问题 每个实体将有另一个字段–令牌–由安全密钥签名的实体id。此令牌不必存储在数据库中,但可以动态计算。当呈现编辑页面时,它会在字段中包括签名的id,例如\u at字段:
<input type="hidden" name="user.id" value="123" />
<input type="hidden" name="user.__at" value="9e01f3c8...4ccba38b9" />
<input type="hidden" name="user.address.id" value="124" />
<input type="hidden" name="user.address.__at" value="83df099...4a276fc8" />
\u at我不是一个加密专家,也没有看过Play会话是如何签名的,但我想这是类似的。您认为这种机制可以工作吗?CheckAuthentity只检查真实性令牌,而不检查ID的修改,其目的是防止。你的第二个建议可以解决这个问题,但它需要更多的编码。我正在寻找应用程序范围的解决方案。我在应用程序中已经有了身份验证机制。但这并不能解决问题。用户可以免费注册,甚至经过身份验证的用户也可以更改
User.idsave()save()<input type="hidden" name="user.id" value="123" />
<input type="hidden" name="user.__at" value="9e01f3c8...4ccba38b9" />
<input type="hidden" name="user.address.id" value="124" />
<input type="hidden" name="user.address.__at" value="83df099...4a276fc8" />