1) Я не говорил что это хорошо, это просто мое ощущение, что с ним делать я не знаю )
2) Сперва посмотрел фото на странице подумал что продаете ландшафтный дизайн, про щебень нашел когда специально начал искать. Про щебень только в верхней плашке сказано но оттуда я быстро ушел на картинки
3) Не расстраивайтесь))
Я вам просто сказал свое впечатление а какие выводы из них делать я не могу сказать, и не уверен что мое мнение и впечатление совпадет с большинством.
Виктор:
> ведь если юзер делает запрос example.com/document/15 и не имеет доступа
> к документу 15 - вернуть ошибку, вот и вся
вернуть ошибку а не документ, в моем понимании, это и есть поэлементный доступ - access control list (спасибо Никита )
но проблема в том что это проверку свой документ и чужой надо будет написать в каждом методе обновления удаления изменения, это было первая идея решения, но не хочется копипастить.
Спасибо за отчет.
Document и User конечно связаны, каждый user знает свои документы и каждый документ знает своего владельца.
Предположим на сервере я буду как то знать что за пользователь делает запрос, но тогда в каждом методе по работе с документом надо будет писать код по проверке принадлежности документа пользователю, хотелось бы как то это обобщить и сделать такую проверку в одном месте, чтобы не нужно было об этом заботится при добавлении методов работы с документом.
А как клиенту передавать токен на сервер не хотелось бы его писать в URL, что думаете если залогиненого пользователя хранить в @SessionScoped бине, какие могут быть проблемы?
Рассматривал JAAS для этих целей, но там можно контролировать доступ только к методам целиком, и нельзя сделать ограничение поэлементным в рамках одного метода, в spring-security аналогично?
