Итак, у меня есть хороший набор репозиториев Spring Data REST, и они отлично работают. Теперь я хочу защитить данные, которые они производят. URL-адреса репозиториев безопасны, поскольку только аутентифицированный пользователь имеет право вызывать их. Однако клиенту следует отправлять только данные в базе данных, связанные с пользователем.
Я реализовал перехватчик, который вызывается до вызова репозитория, который содержит информацию о вошедшем в систему пользователе, но я не уверен, как я могу гарантировать, что только данные, созданные вызовом REST, являются данными, связанными с вошедшим в систему пользователем.
Очевидно, что клиент закодирован так, чтобы совершать вызовы только по ссылкам, связанным с вошедшим в систему пользователем, но пользователь может просто изменить URL-адрес, чтобы просмотреть данные, которые он не должен видеть.
Кто-нибудь решил эту проблему?
Спасибо,
Кори.