67,515
社区成员
发帖
与我相关
我的任务
分享spring mvc @ModelAttribute 如何不覆盖session
如在登录时设置@SessionAttributes("user")对象,在其它Controller的方法里要通过@ModelAttribute("user") User user取该对象,发现前台传来的参数可以覆盖user中的userid,导致session中的userid改变,这样我的系统就变得非常不安全,怎样才能让@ModelAttribute的参数对象不被前台传来的参数赋值呢,不想用servlet httpsession的方式,有别的办法吗
...全文
请发表友善的回复…
发表回复
Intboy 2016-01-22
- 打赏
- 举报
是覆盖了session中的user吧?
Jazzhow 2016-01-22
- 打赏
- 举报
@SessionAttributes("user")
public class ModifyPasswordController {
@RequestMapping("modifyPasswd")
@ResponseBody
public JsonResult modifyPasswd(String oldPwd,String pwd,@ModelAttribute("user") UserEntity user)
我本来是要通过@ModelAttribute("user") UserEntity user来得到该用户存在session中的user对象的,但如果传来的参数只有
oldPwd,pwd这两个那session 中user对象没有问题,但是如果用户传来一个userID=1那么spring mvc 就会自动调用user.setUserID方法,把原本session中的user对象中的userID属性修改掉
Jazzhow 2016-01-22
- 打赏
- 举报
@SessionAttributes("user")
public class ModifyPasswordController {
@RequestMapping("modifyPasswd")
@ResponseBody
public JsonResult modifyPasswd(String oldPwd,String pwd,@ModelAttribute("user") UserEntity user)
我本来是要通过@ModelAttribute("user") UserEntity user来得到该用户存在session中的user对象的,但如果传来的参数只有
oldPwd,pwd这两个那session 中user对象没有问题,但是如果用户传来一个userID=1那么spring mvc 就会自动调用user.setUserID方法,把原本session中的user对象中的userID属性修改掉,可是我并不是想让他被修改,我这么写只是行为了拿到当前用户的一个session对象user而已,但不是让他被修改
Intboy 2016-01-22
- 打赏
- 举报
怎么可能,不同用户进来session都不一样,怎么会存在覆盖的情况?
Jazzhow 2016-01-22
- 打赏
- 举报
比如userID为5的用户浏览器传了个参数?userID=1,那么当这个controller执行完后session中的user对象中的属性userID就变成了1,这样的覆盖
Jazzhow 2016-01-22
- 打赏
- 举报
覆盖了session中user对象的一个userID属性
