假设我在springboot中有以下端点
GET /todo
DELETE /todo/{id}
如何确保只返回userid的条目,并且用户只能更新自己的todo?我有个朋友 Authentication
对象。有什么我可以用的方法吗?或者只要确保总是调用findxyzbyidanduserid,其中userid总是从 Principal
?
我有点担心忘记检查和显示来自其他用户的条目的可能性。
假设我在springboot中有以下端点
GET /todo
DELETE /todo/{id}
如何确保只返回userid的条目,并且用户只能更新自己的todo?我有个朋友 Authentication
对象。有什么我可以用的方法吗?或者只要确保总是调用findxyzbyidanduserid,其中userid总是从 Principal
?
我有点担心忘记检查和显示来自其他用户的条目的可能性。
1条答案
按热度按时间p4tfgftt1#
我的方法是3路实现:(使用jpa和hibernate)
用户请求上下文
获取上下文的Map超类
一个语句检查器来注入你的用户ID
例如:
所以你的实体看起来像这样: