PathVariable의 대한 검증
안녕하세요 영한님.
수정 혹은 삭제 시
pathvariable을 사용해서 처리를 했었는데요.
이 강의를 보고 조작의 위험성에 대해서 고민이 되었습니다.
실제 사용자가 해당 리소스에 대한 권한이 있는지 체크해야 한다 라고 말씀하셨는데요.
예제의 내용으로 보안을 해야 한다면
itemId와 사용자 Id로 상품 조회 후 결과 값이 있으면 해당 리소스에 대한 권한이 있는 사용자로 판단 고로 수정 혹은 삭제가 가능으로 처리 하면 되겠습니까??
그리고..수정은 주로 PutMapping을 사용하는데 예제에서는 PostMapping을 사용하셨더라구요. 이건 영한님의 개인 취향 일까요??
아니면 PutMapping을 안쓰시는 이유가 있으면 알려주십시아.
질문 다시 정리하자면.
1. pathvariable로 수정, 삭제 시 가장 좋은 검증 방법
2. PutMapping 혹은 DeleteMapping에 대한 영한님의 의견을 듣고 싶습니다.
코로나 조심하세요. 영한님.
항상 좋은 강의 감사합니다 !
답변 1
1
안녕하세요. thham님
Q: itemId와 사용자 Id로 상품 조회 후 결과 값이 있으면 해당 리소스에 대한 권한이 있는 사용자로 판단 고로 수정 혹은 삭제가 가능으로 처리 하면 되겠습니까??
-> 네 맞습니다.
Q: 그리고..수정은 주로 PutMapping을 사용하는데 예제에서는 PostMapping을 사용하셨더라구요. 이건 영한님의 개인 취향 일까요??
-> 수정은 사실 Patch를 사용해야 합니다. Put의 경우 전체 데이터를 다 변경할 때 사용합니다. 예제를 만들때는 이런 부분들까지 설명드리기는 어려워서 Post를 사용했습니다. Post의 경우 등록, 수정 모든 곳에서 사용해도 됩니다. 관련해서 HTTP 강의를 참고해주세요^^
감사합니다.
0
감사합니다. 영한님
수정할때 id를 검증하면서 entityManager에서 관리되는 형태가 되더라구요
변경 사항들만 반영시켜주고 변경감지로 update 했습니다.
가르쳐주신것 잘 써먹기 시작한 것 같습니다 감사합니다 ㅎ
OrderServiceTest 상문주문 테스트 시 update 쿼리 문의
0
30
1
sdk 설정 오류
0
71
2
오탈자 - @Transactional
0
68
1
src/test/resources 테스트 경로 문제
0
68
1
상품 등록후 H2 db 출력 순서 바꿀 수 있나요?
0
71
1
MemberRepositoryTest 실행오류
0
91
1
boot 4.x >>> trasasction rolled back log & p6spy(영한님, 수업 자료 업데이트 해주시면 감사하겠습니다!!)
1
198
2
강의 마지막 QueryDSL 사용 부분 질문있습니다
1
154
2
클라이언트에서 isbn과 author 수정 요청을 한 경우에 대해 질문드립니다.
0
58
1
도메인 모델 패턴 vs 트랜잭션 스크립트 패턴
0
82
1
기본 생성자
0
67
1
h2 DB 연결시 jdbc url 변경 이유가 궁금합니다.
0
107
1
멤버서비스테스트 부분에서 막힙니다.
0
176
4
실무에서도 EntityManager를 이용해서 많이 작업하는 편일까요?
0
125
1
초반에 h2 다운로드 과정 꼭 필요한가요?
0
129
2
자신 필드에도 get으로 접근하는 이유가 있을까요?
0
122
1
24분 27초 연관관계 편의 메서드 위치
0
118
1
단건 주문만 가능하게 한건 의도한 부분이신가요?
0
115
2
빌드 툴, Gradle
0
65
1
h2연결은 된 것 같은데 엔티티 테이블까지 작성 후 확인해보아도 테이블이 안보입니다
0
82
2
Repository에서 EntityManager 주입 방식 차이
0
98
1
롬복과 사용자 정의 setter 메서드
0
78
1
주문 목록 조회 fetch join 질문드립니다
0
91
1
dirty checking 질문드립니다.
0
88
1