본문 바로가기

Server Oriented/Security

ACL 이 적용된 내용인 경우 상세화면 조회시에도 반드시 ACL 체크


예를들어, 게시 여부가 존재하는 게시물인 경우..
목록에서는 게시 여부를 체크하면서,
상세에서는 게시 여부를 체크하지 않기도 하는데..
사실 목록에서 체크했다면 상세에서도 체크하는 것이 정석.
누군가 해당 게시물의 상세화면 코드를 알고 있다면,
목록을 거치지 않고 상세화면을 볼 수 있기 때문.

게시 여부뿐만 아니라, 만약 카테고리로 운영된다면 카테고리도 ACL 에 넣어야 합니다.
그렇지 않으면, 다른 권한의 화면에서 해당 내용을 조회할 수 있거든요.

사용자 화면인 경우에는, DB 쿼리에 해당 로직을 넣고..
관리자 화면인 경우에는, JSP 나 JAVA 로직에서 체크.