SpringMVC,当使用setDisallowedFields时,一个用于“添加”和“更新”的控制器?

实际上,在添加和更新时都应该禁用“id”字段。否则,恶意用户可能篡改更新请求的“id”请求参数的值,从而将不同的记录更新到表单所示的记录(假设没有acl或其他域级安全性)。

但是,如果您只是不允许“id”字段,那么控制器会将id视为空,这在插入时有效,但在更新时无效(例如,它可能会尝试插入新记录而不是更新,这取决于您使用的持久性机制)。因此,您希望控制器记住请求之间域对象的不可编辑值(不仅仅是id,而是所有不允许的字段),以便它可以将所有正确的值发送到服务层或其他业务逻辑。这是使用type level@sessionattributes注释完成的,如下所示(为清楚起见省略了其他注释):

@SessionAttributes("thing") // the name of your domain object in the model
public class ThingController {

    public void setDisallowedFields(WebDataBinder binder) {
        binder.setDisallowedFields("id", "someOtherUneditableField");
    }

    // request handling methods go here as before
}

为了更好的安全性,请设置允许的字段,而不是不允许的字段。无论哪种方式,您都需要@sessionattributes注释来填充请求中忽略的任何现有字段值。

方法签名到 initBinder 接受 HttpServletRequest :

protected void initBinder(HttpServletRequest request, 
    ServletRequestDataBinder binder)

所以也许你可以 initBinder() 检查请求参数以确定是否应按条件设置 setDisallowedFields ?

(如果这没有帮助,也许我没有正确理解问题…)

使用单个控制器的方法是在命令对象上有一个布尔值,指示它是否是新对象。在onsubmit中,我可以检查布尔值,看看是否需要执行添加或更新操作。