我想出了两种可能的解决方案,但我不确定哪种方法在保持事物清洁和安全方面是最好的(这样恶意用户就不能仅对他们想要的对象ID进行编辑)。
您提到的两种方法都无法真正处理试图编辑未经授权的对象的用户。最终,提交表单的用户需要告诉您他们要提交数据的对象-
无论是在URL参数中还是在隐藏的表单参数中。我要说的是,您选择的两个是样式和个人喜好。
但是,无论选择什么,您需要做的是在处理表单提交时验证当前登录的用户是否有权更改对象。这意味着您需要使用该应用程序包含的“允许执行此操作”的任何逻辑来检查该用户是否有权编辑当前对象ID。
