Vamos supor que exista uma página para detalhar os pedidos e o acesso a essa página é feita pela url /pedidos/{pedidoId} , e o pedido 1 seja do usuário joão, mas a usuária maria está logada e tem as mesmas roles do joão se ela digitar /pedidos/1 seguindo o padrão do spring security que se baseia nas roles, a maria quando logada vai conseguir ver os pedidos do joão. Como eu faço pra contornar esse tipo de problema?
1
resposta
resposta
Protegendo recursos com Spring Security
Fala Ricardo.
Em teoria você teria que filtrar internamente pelo usuário. A role permitiria que você acessasse a url de pedidos e o filtro de usuário refinaria quais pedidos seriam retornados.