[demoiselle-security] Validação do bean ocorre antes da validação de segurança. #92
Comments
emobtech
changed the title
|
Gostamos da sugestão, vamos avaliar para a próxima versão. |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Olá,
Estou vivenciando a seguinte situação, a qual acredito que poderia ser melhorada:
Ao tentar inserir uma nova entidade, estou enviando, propositalmente, uma entidade cujos campos possuem erros de validação e não estou informando o token de autenticação no cabeçalho da requisição. Com isso, estou recebendo uma mensagem de erro da validação do bean, ao invés da validação de segurança. O que não é interessante, pois acaba revelando detalhes do meu serviço a alguém, que supostamente não teria acesso ao mesmo.
Ao avaliar o código do demoiselle-security, vi que a validação de segurança realmente só acontece depois da validação do bean, através de um interceptor (AuthenticatedInterceptor). Seria interessante que a validação de segurança já ocorresse no provider SecurityFilter. Assim, nenhuma chamada a métodos que requer autenticação passaria sem as devidas credenciais.
Estou à disposição.
#85-3756
The text was updated successfully, but these errors were encountered: