Метабаза: манипулирование URL-адресами обеспечивает несанкционированный доступ к данным ⇐ JAVA

[Anonymous]

В настоящее время я использую бесплатную версию Metabase в целях обучения и тестирования. Я настроил две панели мониторинга для двух разных пользователей на основе имен состояний, жестко закодированных в фильтрах. Ожидается, что пользователи смогут просматривать данные только для своих штатов.
Например, если пользователь из Карнатаки войдет в систему, он должен видеть только данные, относящиеся к Карнатаке, и аналогично для другой пользователь из другого штата.
Проблема:
Когда пользователь из Карнатаки входит в систему, ему изначально предоставляются правильные данные. Однако если они вручную изменят URL-адрес и изменят параметр запроса с select_state=Karnataka на другое состояние, например select_state=Kerala, они смогут получить доступ к данным для Кералы, что не должно быть разрешено.
Например:
Исходный URL-адрес (работает должным образом):
/dashboard/4-state-report-karnataka?state_param=Karnataka
Изображение исходного URL-адреса
Измененный URL-адрес (проблема безопасности):
/dashboard/4-state-report-karnataka?state_param=Kerala
Изображение измененного URL-адреса
Я был бы признателен за вашу помощь в устранении этой проблемы или подсказку о правильном способе реализации ограничений доступа для конкретного штата, которые не могут быть переопределено изменениями URL-адреса.
Спасибо за внимание к этому вопросу!
Создано две информационные панели для каждого пользователя штата с одной и той же карточкой вопроса, но пользователь состояния 1 входит в систему, манипулирует URL-адресом и видит данные другого состояния.
Этот несанкционированный доступ раскрывает данные из других состояний, что нарушает предполагаемые ограничения, специфичные для штата. Я ожидал, что каждый пользователь будет ограничен своими собственными данными о состоянии, независимо от любых изменений, которые он вносит в URL-адрес.

Подробнее здесь: https://stackoverflow.com/questions/791 ... ata-access