[demoiselle-security] Validação do bean ocorre antes da validação de segurança.

[emobtech]

Olá,

Estou vivenciando a seguinte situação, a qual acredito que poderia ser melhorada:

Ao tentar inserir uma nova entidade, estou enviando, propositalmente, uma entidade cujos campos possuem erros de validação e não estou informando o token de autenticação no cabeçalho da requisição. Com isso, estou recebendo uma mensagem de erro da validação do bean, ao invés da validação de segurança. O que não é interessante, pois acaba revelando detalhes do meu serviço a alguém, que supostamente não teria acesso ao mesmo.

Ao avaliar o código do demoiselle-security, vi que a validação de segurança realmente só acontece depois da validação do bean, através de um interceptor (AuthenticatedInterceptor). Seria interessante que a validação de segurança já ocorresse no provider SecurityFilter. Assim, nenhuma chamada a métodos que requer autenticação passaria sem as devidas credenciais.

Estou à disposição.

85-3756

[PauloGladson]

Gostamos da sugestão, vamos avaliar para a próxima versão.