确保经过身份验证的用户只能更新自己的记录

Question

假设我有两个实体如下：

@Entity
public class ClassA {
    private Long id;

    public Long getId() {
        return id;
     }

    public void setId(Long id) {
        this.id = id;
    }

    @OneToMany
    private Set<ClassB> classBs = new HashSet<>();
}

@Entity
public class ClassB {
    private Long id;
    private String name;


    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }
}

也就是说，ClassA 包含一组 ClassB。还有一个更新 ClassA 的资源：

@RequestMapping(method = RequestMethod.PUT)
public ClassA update(@RequestBody ClassA a){
    // Update code here
}

然后在 DAO（使用休眠）中调用以下代码来更新数据库中的 ClassA：

@Override
public ClassA save(ClassA classA) {
    sessionFactory.getCurrentSession().saveOrUpdate(classA);
    return classA;
}

在 update 场景中，如果经过身份验证的用户将 ClassB 实例的 id 更改为属于另一个用户的 id，我们发现没有阻止用户的保护措施更新不属于他们的对象。有什么方法可以防止这种情况吗？防止这种情况发生的最佳做法是什么（即阻止他们更新其他用户 classB 详细信息）？

Answer 1

见Access Control using @PreAuthorize and @PostAuthorize:

使用@PreAuthorize 和@PostAuthorize 进行访问控制

最明显有用的注解是@PreAuthorize，它决定了一个方法是否可以实际被调用。例如（来自“联系人”示例应用程序）

@PreAuthorize("hasRole('USER')")
public void create(Contact contact);

这意味着只有具有“ROLE_USER”角色的用户才能访问。显然，使用传统配置和所需角色的简单配置属性可以轻松实现相同的目标。但是呢：

@PreAuthorize("hasPermission(#contact, 'admin')")
public void deletePermission(Contact contact, Sid recipient, Permission permission);

这里我们实际上使用方法参数作为表达式的一部分来确定当前用户是否具有给定联系人的“管理员”权限。内置的hasPermission() 表达式通过应用程序上下文链接到 Spring Security ACL 模块，我们将在下面看到。您可以按名称访问任何方法参数作为表达式变量。

Answer 2

这称为业务逻辑。 Hibernate 不知道id 字段是用来表示用户的。它不会阻止您将该字段设置为您想要的任何值。

调用这个的代码，也就是修改ID字段，需要注意id字段的限制，防止用户修改。你应该在你的 UI 和你的 DAO 之间有一个业务层来进行这种检查。