URL rewrite使用不当带来的问题

于 2018-12-01 15:22:23 发布
阅读量727 收藏
点赞数
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TheOne_JustPass/article/details/84674084
版权

文章目录

前提条件

1.有两个或者两个以上的web应用,这里以两个web应用为例
2.在满足某些条件时,需要从其中一个web应用处转发到另外的web应用
3.采用的转发技术是URL rewrite
4.使用的安全验证是Spring Security Framework
5.发送的request默认是需要做转发的request

问题描述

对项目进行如下操作,多次循环,顺序执行:
1.发送request请求,传入正确的账号密码,通过了验证,获取了正确的返回值
2.发送request请求,传入错误的账号和密码,未通过验证,获取了正确的返回值
3.发送request请求,传入错误的账号和正确的密码,未通过验证,获取了正确的返回值
4.发送request请求,传入正确的账号和错误的密码,有时能通过验证,获取了错误的返回值

客户端 服务器 正确的账号密码 正确的返回值 错误的账号密码 正确的返回值 错误的账号和正确的密码 正确的返回值 正确的账号和错误的密码 错误的返回值(有时) 客户端 服务器

具体分析

单个出错请求流程分析

客户端 web应用1 security chain 1 url rewrite filter web应用2 security chain 2 发送request请求 在web应用1上 load context 通过web应用1中的url rewrite filter 转发至web应用2 在web应用2上做authentication 清除load的context 返回信息 客户端 web应用1 security chain 1 url rewrite filter web应用2 security chain 2

发现:
1.在security chain 1 处加载了context,最后也在这里清除了context
2.在security chain 2 处直接使用了context,应该是通过url rewrite转发过来的
3.只在security chain 2处做了验证,但是验证结果有时正确,有时错误
怀疑验证结果和验证时使用的线程有关系

单个出错线程流程分析

客户端 tomcat thread web app 1 security url rewrite filter web app 2 security 第一次发送request请求 加载web应用1的context 通过url rewrite filter传输context至web应用2 使用web应用1的context,验证成功,生成验证信息存储 清除web应用1的context 返回信息 第二次发送request请求 加载web应用1的context 通过url rewrite filter传输context至web应用2 使用上次验证成功后存储的验证信息,判定验证通过 清除web应用1的context 返回信息 客户端 tomcat thread web app 1 security url rewrite filter web app 2 security

流程图结合代码有以下结论:
1.这个场景存在两套web应用环境,所以清除web app 1的环境时不能影响到web app 2的环境
2.第一个web应用环境中,SecurityContextPersistenceFilter加载了一个context,同时设置了标记位FILTER_APPLIED的值,存储在第一个web应用的SecurityContextHolder中
3.通过RequestContextFilter和URL rewrite filter将第一个web应用加载的context和标志位FILTER_APPLIED传到第二个web应用
4.在第二个web应用环境中,在BasicAuthenticationFilter中:
  a.如果之前没验证成功过,使用context进行验证,验证成功后生成验证成功标志信息isAuthenticated = true,该信息会被存储在第二个web应用的SecurityContextHolder中
  b.如果之前验证成功过,使用存储的验证成功标志信息,这样就免除了验证操作
5.在拿到了请求结果后,会返回第一个web应用,清除加载第一个web应用的SecurityContextHolder的信息(这里就没法清除第二个web应用环境的相同信息)

所以,看到的现象就是: 如果一个线程在成功通过验证,那么在一段时间内,这个线程再被用到时就会无论密码正确还是错误,都能直接获取信息,给人一种绕过验证的假象;同时,如果一个线程一直未能成功验证,那就一直需要走账号密码验证。综合起来,就是有时是正确返回值,有时是错误返回值。

解决方式

只需要保证URL rewrite filter在security chain操作之前就可以了。 也就是彻底执行"单个请求流程",不在第一个web应用处走任何security chain,直接转发URL。

单个请求流程

客户端 web应用1 url rewrite filter web应用2 security chain 发送request请求 直接通过web应用1中的url rewrite filter 转发至web应用2 在web应用2上做验证,然后获取相关信息 返回信息 客户端 web应用1 url rewrite filter web应用2 security chain

也就是在一个请求中,只做一次验证操作,而且,如果是转发的URL,则在转发到最终的web应用处做验证。

<filter>
    <filter-name>urlRewriting</filter-name>
    <filter-class>UrlRewriteFilter</filter-class>
</filter>

<filter-mapping>
    <filter-name>urlRewriting</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

如果URL rewrite配置不正确,可能会出现每次重启,URL rewrite filter和security chain加载乱序的问题。
最可靠的配置方式是在web.xml中进行设置。

参考资料

https://stackoverflow.com/questions/40674014/execute-servlet-filters-before-the-spring-security-filter-chain
https://cloud.tencent.com/developer/ask/118029
https://www.cnblogs.com/longfurcat/p/9417912.html

路过的人1094
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net 站点URLRewrite使用小记
01-02
IIS收到请求–>ISAPI用于处理该请求–>BeginRequest开始–>EndRequest结束–>输出Response 中间有好多其它的流程就不标记了,这里只是列出URLRewrite所走的流程。 其实就是在BeginRequest事件中调用HttpContext的RewritePath方法,将该请求重新“定位”至一个目标URL就完成了。 在站点的Global.asax文件BeginRequest方法中添加代码: 代码如下: public class Global : System.Web.HttpApplication { protected void Application_Be
UrlRewrite例子
12-15
UrlRewrite是一个强大的URL重写工具,常用于Java Web应用中,尤其是与Struts2框架结合使用时,能够帮助开发者优化URL结构,提高网站的SEO友好性和用户体验。在这个"UrlRewrite例子"中,我们将深入探讨UrlRewrite的...
UrlRewrite使用
Blackeyed
08-27 623
UrlRewrite概述 UrlRewrite就是我们通常说的地址重写,用户得到的全部都是经过处理后的URL地址,类似于Apache的mod_rewrite。将我们的动态网页地址转化为静态的地址,如html、shtml,还可以隐藏网页的真正路径。 比如:有时候需要将xxx.com/news/ type1/001.jsp 转化成显示路径为xxx.com/news_type1_001.html
urlrewrite使用方法
linfanhehe的专栏
07-05 2471
、下载:  下载地址为http://tuckey.org/urlrewrite/#download  2、配置  将urlrewrite.jar包导入  然后在web.xml配置过滤器           UrlRewriteFilter       class>           org.tuckey.web.filters.urlrewrite.UrlRewrit
ss3ex中使用UrlRewrite
05-25
7. **性能影响**:虽然`UrlRewrite`提供了很多便利,但过度使用或设计不当的规则可能会对性能造成一定影响,因为每个请求都需要经过Filter处理。因此,在实际应用中应适度优化规则,避免不必要的重写。 8. **调试与...
HDwiki 5.1下iis的rewrite规则分享
09-30
- **ISAPI_Rewrite 3.0**:对于使用IIS的独立主机用户,首先需要下载并安装ISAPI_Rewrite 3.0插件,这是实现URL重写的必要工具。 3. **配置规则**: - **配置文件**:Rewrite规则需要写入IIS的配置文件`httpd....
Rewrite程序端
08-31
Rewrite程序端主要指的是在Web服务器中用于URL重写的技术,它是Apache HTTP Server中的一个模块,通常称为mod_rewrite。这个技术对于网站优化、SEO(搜索引擎优化)以及动态网站的静态化有着重要的作用。以下是关于...
超级注意复杂整合环境中的Filter-Mapping的顺序--配置单点登陆及UrlRewrite有感
03-06
这篇博客“超级注意复杂整合环境中的Filter-Mapping的顺序--配置单点登陆及UrlRewrite有感”深入探讨了如何在这样的环境中正确配置Filter和Mapping,以实现单点登录(Single Sign-On, SSO)以及URL重写。下面我们将...
利用URL REWRITE机制实现静态链接
weixin_34175509的博客
03-13 324
内容摘要:不得不承认,将动态网页链接rewriting成静态链接是最保险和稳定的面向搜索引擎优化方式此外随着互联网上的内容以惊人速度的增长也越来越突出了搜索引擎的重要性,如果网站想更好地被搜索引擎收录,网站设计除了面向用户友好(User Friendly)外,搜索引擎友好(Search Engine Friendly)的设计也是非常重要的。进入搜索引擎的页面内容越多,则被用户...
urlrewrite使用介绍
wangyh_128的专栏
03-09 335
<br />urlrewrite是一个类似于apache的mod_rewrite模块的基于web服务器的filter之上的开源java工具 <br />主要功能: <br /><br /><br />1.实现url地址的伪静态化,有利于搜索引擎收录 <br />例如可以把http://www.flyox.com/showBlog.jspx?id=55 的请求重定向或转发到http://www.flyox.com/blog/55, <br />这样做就避免了url中出现?&之类的符号。而且页面伪静态化之后也增
UrlRewrite 的配置和使用总结
热门推荐
weixin_41953007的博客
06-05 1万+
UrlRewrite就是我们通常说的地址重写,用户得到的全部都是经过处理后的URL地址。主要优点编辑一:提高安全性,可以有效的避免一些参数名、ID等完全暴露在用户面前,如果用户随便乱输的话,不符合规则的话直接会返回个404或错误页面,这比直接返回500或一大堆服务器错误信息要好的多二:美化URL,去除了那些比如*.do之类的后缀名、长长的参数串等,可以自己组织精简更能反映访问模块内容的URL三:更...
web安全之--UrlRewrite
sky_100的博客
11-30 5217
最近在做一个项目,在做项目的过程中发现,由于自己的命名规范,显示在url地址栏中的信息如果不加修饰,很容易被人理解并且改写。如果让别人看不懂自己网站上的url地址栏的内容是不是非常好呢,于是自己便发时间去查找资料研究了一下,最后发现UrlRewrite很趁自己的心意。经过学习发现UrlRewrite有很多优点,第一,提高安全性,可以避免参数和id等完全暴露在用户面前。第二,美化URL。第三:由于网
urlrewrite2
最新发布
08-22
URL Rewrite是一种常用的URL重写工具,可以通过配置URL规则实现对URL的重写和重定向。URL Rewrite2是URL Rewrite的升级版本,具有更多功能和优化。 URL Rewrite2的主要功能包括路由重写、重定向、反向代理等。通过规则配置,可以将用户输入的URL重写为符合网站需求的URL格式,并且可以实现URL的伪静态化。简化了网站URL的结构,使得URL更加友好和易读,提升了用户体验和搜索引擎优化效果。 URL Rewrite2还可以实现重定向功能,将访问一个URL的请求重定向到另一个URL。这对于网站改版或者网页更改位置时非常有用,可以通过301或302重定向方式,将旧的URL引导到新的URL,避免让用户访问到错误页面。 反向代理是URL Rewrite2的另一个重要功能,它可以将客户端的请求转发到内部服务器,并将服务器的响应返回给客户端。这对于网站负载均衡、安全加密等都非常有帮助,可以提高网站的稳定性和安全性。 总之,URL Rewrite2是一款功能强大的URL重写工具,可以通过配置规则实现URL的重写、重定向和反向代理。它可以提升网站的用户体验、搜索引擎优化,同时还可以实现负载均衡和安全加密等功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值