在spring mvc中隐藏url字符串

Question

如何在 spring mvc web 应用程序中隐藏 url 字符串中使用的字段值？

例如，如果我想将 recordID=1 的记录发送到视图中，我给用户一个带有以下 url 的超链接：

https://myapp.com/urlpattern?recordID=1  

如您所见，这不仅暴露了recordID=1，还诱使恶意用户开始输入其他数字来挖掘其他记录，例如recordID=5 或recordID=9。

spring框架或spring security是否有内置的url字符串加密方式？还是我需要使用hibernate更改底层数据库中的id值？

上述url模式的控制器代码是：

@RequestMapping(value = "/urlpattern", method = RequestMethod.GET)
public String processUrlPattern(@RequestParam("recordID") String recordId, 
  HttpServletRequest request, BindingResult result, Map<String, Object> model) {

    Long recId = Long.valueOf(recordId).longValue();
    RecordObject sel_record = this.appService.findRecordById(recId);
    model.put("sel_record", sel_record);
    return "foldername/jspname";
}

请注意，应用程序中的所有实体都继承自同一个BaseEntity，其 id 生成代码如下：

@Entity
@Inheritance(strategy = InheritanceType.TABLE_PER_CLASS)
@DiscriminatorFormula("(CASE WHEN dtype IS NULL THEN 'BaseEntity' ELSE dtype END)")
@org.hibernate.annotations.DiscriminatorOptions(force=true)
public abstract class BaseEntity {

    @Transient
    private String dtype = this.getClass().getSimpleName();

    @Id 
    @GeneratedValue(strategy=GenerationType.TABLE, generator="TBL_GEN")
    @TableGenerator(
        name="TBL_GEN",
        table="GENERATOR_TABLE",
        pkColumnName = "mykey",
        valueColumnName = "hi",
        pkColumnValue="id",
        allocationSize=20
    )
    protected Integer id;

    //other stuff
}  

注意：所有用户都使用 Spring 安全性进行身份验证/授权。但是，数据非常敏感，重要的是没有人能够操作 url 字符串。

Answer 1

使用 HDIV，它开箱即用：

http://hdiv.org/hdiv-documentation-single/doc.html

"A6（敏感数据暴露）：HDIV 为服务器端生成的所有数据提供机密属性。也就是说，HDIV 将服务器端生成的原始参数值替换为相对值（0,1,2,4,等）避免将关键数据暴露给客户端。”