标签: java spring spring-security
这可能是一个基本问题,但我知道如何根据用户角色限制对网页的访问。如何根据经过身份验证的用户限制对数据库中数据的访问。
例如,假设我的应用程序根据事务ID HTTP参数返回事务数据,然后将其传递给getTransactionById方法。用户应该只能查看他们的交易。 Spring Security如何阻止用户只是更改URL中的ID参数值以查看其他用户的其他事务?
当然,我可以手动编写逻辑来执行此操作,但我认为Spring Security具有执行此操作的功能。