¿Qué otras buenas soluciones hay?
De la propuesta de Area51
Resumiendo el enlace de atdre: OWASP ESAPI proporciona convenientemente una asignación de un conjunto de referencias indirectas a las referencias directas, tan conveniente que incluso puede usar una asignación diferente en cada solicitud a su servicio.
Las alternativas incluyen seguridad administrada por contenedor, Apache Shiro y Spring Security, todas las cuales se describen en pregunta de StackOverflow .
En el proyecto OWASP ESAPI de código abierto, hay una arquitectura de ejemplo con los controles correctos implementados para evitar los IDOR. En esa arquitectura hay una interfaz llamada AccessReferenceMap.
La interfaz AccessReferenceMap extiende java.io.Serializable y se usa para asignar un conjunto de referencias internas directas de objetos a un conjunto de referencias indirectas que se pueden divulgar públicamente. Se puede usar para ayudar a proteger las claves de la base de datos, los nombres de archivo y otros tipos de referencias directas de objetos. Como regla general, los desarrolladores no deben exponer sus referencias de objetos directos, ya que esto permite a los atacantes intentar manipularlos.
Lea otras preguntas en las etiquetas appsec attack-prevention owasp esapi