質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.52%

  • Java

    13771questions

    Javaは、1995年にサン・マイクロシステムズが開発したプログラミング言語です。表記法はC言語に似ていますが、既存のプログラミング言語の短所を踏まえていちから設計されており、最初からオブジェクト指向性を備えてデザインされています。セキュリティ面が強力であることや、ネットワーク環境での利用に向いていることが特徴です。Javaで作られたソフトウェアは基本的にいかなるプラットフォームでも作動します。

  • Spring Boot

    493questions

    Spring Bootは、Javaのフレームワークの一つ。Springプロジェクトが提供する様々なフレームワークを統合した、アプリケーションを高速で開発するために設計されたフレームワークです。

山田先生の学生のみ表示したい(今ほかの先生の学生も、権限がない情報も入手される)

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 252

soso_sho

score 3

前提・実現したいこと

Eclipseでjavを使い、
ログイン中の山田先生が自分の学生成績リストを表示したい。
  

発生している問題・エラーメッセージ

ログイン中の山田先生以外の田中先生の学生もリストに表示されている。
ようには先生ごとに分けてもらいたい。
ようには山田先生は承認権限が無い情報(ほかの学生)を見れてるため、よくないのです。

該当のソースコード

        /** 承認社員を検索します。 */
    @GetMapping("/teacher")
    public List<StudentInfo> findTeacher() {
        return service.findTeacher().stream()
                .map(StudentInfo::of)
                .collect(Collectors.toList());
    }

    /** 学生を検索します。 low: 先生権限のみ利用可能に */
    @GetMapping
    public List<StudentInfo> findStudent() {
        return service.findStudent().stream()
                .map(StudentInfo::of)
                .collect(Collectors.toList());
    }

    @Data
    @NoArgsConstructor
    @AllArgsConstructor
    public static class StudentInfo implements Dto {
        private static final long serialVersionUID = 1L;
        /** 学生ID */
        private String id;
        /** 学生氏名 */
        private String name;
        /** フリガナ */
        private String kana;
        /** 先生フラグ */
        private boolean teacherFlag;
        /** 権限一覧 */
        private Set<GroupType> groups = new HashSet<>();

        public static StudentInfo of(Student m) {
            return of(m, new HashSet<>());
        }

        public static StudentInfo of(Student m, Collection<GroupType> groups) {
            StudentInfo p = new StudentInfo();
            p.id = m.getId();
            p.name = m.getName();
            p.kana = m.getKana();
            p.teacherFlag = m.isTeacherFlag();
            p.groups.addAll(groups);
            return p;
        }
    }
}

試したこと

以前、UI側で

li.list-group-item.l-selectable(v-for="item in unapproved", v-if="item.approverName === sessionValue().name", @click="showApproveDetail(item)")


v-ifはログインアカウントと先生(teacher)を判別するために用います。
v-forで先生権限がない情報でも見れています。それに加えてv-ifを使い、v-forの内容を分岐して、
ログイン中の方のnameは先生のnameと一致すれば、
該当するリストが表示されますが、
じゃなければ、表示させません。という考えです。
だが、HTTPの通信ログは見れるわけですから、ある意味、セキュリティ上の脆弱性になります。そのため、API側だけで 既存のAPIを書き換えたり、新たに作ったりして、そこのAPIでログインしているアカウントが先生となる一覧を返したいのです。

補足情報(言語/FW/ツール等のバージョンなど)

他の学生の情報を見れるのは良くないから、APIのみ処理したいのであれば、どうすればよいのでしょうか。

追加:

    /** 学生を検索します。 low: 先生権限のみ利用可能に */
    @GetMapping
    public List<StudentInfo> findStudent() {

        studentInfoList = null;
        List<StudentInfo> StudentAll = service.findStudent().stream()
                .map(StudentInfo::of)
                .collect(Collectors.toList());

        for (StudentInfo studentInfo : StudentAll) {

            if (studentInfo.equals(teacherId)) {
                studentInfoList.add(studentInfo);
            }
        }
        return studentInfoList;
    }


上記のように、StudentController.javaファイルにループforとif文を使ってみましたが、うまくいかない。
もしかしたら、どこかに書き間違えていますか。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • fuzzball

    2017/10/11 16:35

    「HTTPの通信ログは見れるわけですから、ある意味、セキュリティ上の脆弱性になります」とありますが、その状態で山田先生の生徒だけ返すようにしたとしても、脆弱なことに変わりはないのではないでしょうか?

    キャンセル

  • soso_sho

    2017/10/11 16:41

    脆弱なことをおいといて、ひとまずAPIでこの問題を解消できるのでしょうか。

    キャンセル

回答 1

checkベストアンサー

0

良くわかんないんですけど、ようはコントローラーにあるfindStudentメソッドが
ログイン中の先生の学生だけを返せればいいんでしょうか?

まず、service.findStudent()ですけど、
引数に先生IDを渡してSQLの条件に入れてみてはどうでしょう?

とりあえず今は、どうしても全生徒を取得してJavaの以下の処理で絞りたいとしましょう。

for (StudentInfo studentInfo : StudentAll) {
    if (studentInfo.equals(teacherId)) {
        studentInfoList.add(studentInfo);
    }
}

この上記の処理なんですけど、teacherIdってなんですか?
StudentInfoとequalsしてますけど、teacherIdはStudentInfoなんですか?
StudentInfoは@Dataアノテーションがついている以外、
特別なequalsのオーバーライドもありませんし、ここが間違ってる可能性はないでしょうか?

StudentInfo.getTeacherId().equals(teacherId)
みたいな感じではないかと推測されるんですけど、
StudentInfoにteacherIdらしきものもありませんね。

あと、これは別件ですけど、Stream API使うならこのfor文の部分も一緒に書いてはどうでしょう?

List<StudentInfo> studentInfoList = service.findStudent().stream()
                                    .filter(ここで絞る)
                                    .map(StudentInfo::of)
                                    .collect(Collectors.toList());
return studentInfoList;

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/10/11 19:29

    ご回答有り難うございます。
    if (studentInfo.equals(teacherId))のところで、書き間違えていると気づかなかった。
    正しいソースはif (teacherId.equals(ログイン中のuseId))
    ログイン中のユーザーID(先生のID)は該当するteacherIdと等しい場合には、
    この先生の生徒だけの情報を返すべきであること。
    ですが、ユーザーIDとteacherIDを定義してないので、ここのファイルに定義するか。
    それともすでに別のどこかファイルに入ってるかわかりません。
    もし、他のファイルにすでにユーザーIDを定義していれば、
    どういうふうにできるのでしょうか。
    そして、今の補足内容を踏まえて、
    .filter(ここで絞る)の括弧にfor文だけで良いのでしょうか。
    あるいは具体的なソースを書いていただけないのでしょうか。

    キャンセル

  • 2017/10/11 19:56 編集

    StudentにはteacherIdはあるんでしょうか?
    データモデリング的におかしい気がしますが、とりあえず今はあるとします。
    そうすると以下のように書くことができます。

    List<StudentInfo> studentInfoList = service.findStudent().stream()
    .filter(s -> s.getTeacherId().equals(LoginUser.getId()))
    .map(StudentInfo::of)
    .collect(Collectors.toList());
    return studentInfoList;

    キャンセル

  • 2017/10/11 23:28

    StudentにはteacherIdは無い場合には、どうなりますでしょうか。

    キャンセル

  • 2017/10/12 13:22

    クイズじゃないんだから、teacherIdの居場所を教えてくださいよww
    まぁ、StudentにteacherIdがないのでは、そもそも絞りようがないですね。
    例えば出席番号や性別(Studentが持ってない情報)で絞りたいですって言ってるのと同じなので。

    キャンセル

  • 2017/10/12 18:44

    よく勉強になりました。
    この度ありがとうございます。
    今後ともよろしくお願い致します。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.52%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • Java

    13771questions

    Javaは、1995年にサン・マイクロシステムズが開発したプログラミング言語です。表記法はC言語に似ていますが、既存のプログラミング言語の短所を踏まえていちから設計されており、最初からオブジェクト指向性を備えてデザインされています。セキュリティ面が強力であることや、ネットワーク環境での利用に向いていることが特徴です。Javaで作られたソフトウェアは基本的にいかなるプラットフォームでも作動します。

  • Spring Boot

    493questions

    Spring Bootは、Javaのフレームワークの一つ。Springプロジェクトが提供する様々なフレームワークを統合した、アプリケーションを高速で開発するために設計されたフレームワークです。

  • トップ
  • Javaに関する質問
  • 山田先生の学生のみ表示したい(今ほかの先生の学生も、権限がない情報も入手される)