Java代码安全审计-设计模式-责任链模式

最新推荐文章于 2023-11-16 20:35:32 发布
最新推荐文章于 2023-11-16 20:35:32 发布
阅读量198 收藏 1
点赞数
文章标签: java 设计模式 责任链模式 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ayunlong/article/details/130298190
版权

Java设计模式-责任链模式(Chain of Responsibility Pattern)

目录

  • 什么是责任链模式
  • 责任链模式的实现方式
  • Tomcat责任链模式的应用

为了避免请求发送者与多个请求处理者耦合在一起,于是将所有请求的处理者通过前一对象记住其下一个对象的引用而连成一条链;当有请求发生时,可将请求沿着这条链传递,直到有对象处理它为止。

一、什么是责任链模式

责任链模式会使多个对象都有机会处理请求,从而避免请求的发送者和接受者之间的耦合关系,将这个对象连成一条链,并沿着这条链传递该请求,直到有一个对象处理他为止

在责任链模式中,客户只需要将请求发送到责任链上即可,无须关心请求的处理细节和请求的传递过程,请求会自动进行传递。所以责任链将请求的发送者和请求的处理者解耦了。

用一张图表示责任链模式

img

二、责任链模式的实现方式

模拟HTTP请求过程,在HTTP请求时经常对参数进行过滤,使用责任链模式实现多次过滤,代码如下

package org.ChainPattern.version1;

import java.util.ArrayList;
import java.util.List;
// 请求对象
class Request{
    private String type;
    private String msg;
    public Request(String type,String msg){
        this.type = type;
        this.msg = msg;
    }

    public String getType() {
        return this.type;
    }

    public String getMsg() {
        return this.msg;
    }
}
// 返回对象
class Response{
    private String msg;

    public String getMsg() {
        return msg;
    }

    public void setMsg(String msg) {
        this.msg = msg;
    }
}
// 过滤器
interface Filter{
    public void doFilter(Request request,Response response,Filter filter);
}
// HTTP过滤器
class HTTPFilter implements Filter{

    @Override
    public void doFilter(Request request, Response response, Filter filter) {
        System.out.println("HTTPFilter开始处理请求数据..." + request.getMsg());
        filter.doFilter(request,response,filter);
        System.out.println("HTTPFilter开始处理返回数据...");
    }
}
// 特殊字符过滤器
class SafeCheckFilter implements Filter{

    @Override
    public void doFilter(Request request, Response response, Filter filter) {
        System.out.println("SafeCheckFilter开始处理请求数据..." + request.getMsg());
        filter.doFilter(request,response,filter);
        System.out.println("SafeCheckFilter开始处理返回数据...");
    }
}

// 过滤器链
class FilterChain implements Filter{
    // 要调用的所有的过滤器
    List<Filter> filters = new ArrayList<>();
    // 标识当前调用的过滤器下标
    private int index;
    // 添加过滤器
    public void addFilter(Filter filter){
        filters.add(filter);

    }
    // 执行过滤器
    @Override
    public void doFilter(Request request, Response response, Filter filter) {
        // 如果过滤器没了,这是最后一个,那么返回
        if (index == filters.size()){
            // 设置返回数据,例如HTTP请求的数据库数据,或者登录状态等
            response.setMsg("请求成功");
            return;
        }
        // 获取过滤器
        Filter f = filters.get(index);
        index ++;
        // 执行过滤器
        f.doFilter(request,response,filter);
    }
}

public class Test {
    public static void main(String[] args) {
        Request request = new Request("POST","POST请求");
        Response response = new Response();
        FilterChain chain = new FilterChain();
        chain.addFilter(new HTTPFilter());
        chain.addFilter(new SafeCheckFilter());
        chain.doFilter(request,response,chain);
        System.out.println("Response返回:" + response.getMsg());
    }
}
// 执行结果
HTTPFilter开始处理请求数据...POST请求
SafeCheckFilter开始处理请求数据...POST请求
SafeCheckFilter开始处理返回数据...
HTTPFilter开始处理返回数据...
Response返回:请求成功

这就是责任链模式最关键的就是doFilter(Request request, Response response, Filter filter)方法,传递的filter是FilterChain对象, 要记住永远是FilterChain对象,在FilterChain的doFilter方法中不断的get出Filter去执行,HTTPFilter、SafeCheckFilter的doFilter方法内部的filter.doFilter(request,response,filter);的filter一直是FilterChain对象,自己调用doFilter并且把自己传进去,典型递归。

仔细看执行结果,是递归调用的样子,最开始的Filter会在最后返回。

HTTPFilter、SafeCheckFilter会分别处理Request、Response对象,每个Filter都有机会处理

三、Tomcat责任链模式的应用

前面我们举得例子其实就是模拟的Tomcat的HTTP请求过程,关键的类有

  1. ApplicationFilterChain:内部维护了所有需要调用的Filter
  2. FilterDispatcher、WsFilter等:实现了Filter的接口,负责处理不同的逻辑

ApplicationFilterChain的internalDoFilter会逐个取出filter进行调用,和我们上面的额例子一样也是用了 一个自增的索引pos,不断取出filter

image-20230314222336500

再看下具体的Filter业务类:CsrfPreventionFilter.java,是不是和我们案例中写的代码非常类似

image-20230314180349185

FilterDispatcher.java内容如下,可以看到FilterDispatcher负责调用Action

image-20230314181239735

下图是一个tomcat处理请求的过程,即它会有多个过滤器,这里的过滤器串联起来,形成一条过滤链,前端或者浏览器发来了request,会经过这条链,顺着链依次经过每个过滤器,最终由servlet处理后,再逐一返回。这有点像栈结构,但是这其中逐一处理,构成一条链,又符合责任链的设计规则

img

MarginSelf
关注
Java Web 工程源代码安全审计实战的第 1 部分.pdf
08-16
本文是JavaWeb工程源代码安全审计实战,基于WebGoat工程,讲解四种高危漏洞:文件路径操纵、系统日志欺骗、线程安全和资源未释放问题。
Java设计模式-源码】事件溯源模式
最新发布
08-31
事件溯源是一种设计模式,主张将状态变化存储为一系列事件。它不是更新数据库中的记录,而是将所有变化存储为单独的事件,通过重放这些事件,可以在任何时间点重新创建应用程序的状态。 ## 二、别名 * 事件日志 * ...
java 安全编码审计_java安全编码指南之:敏感类的拷贝
weixin_30423863的博客
02-25 92
简介一般来说class中如果包含了私有的或者敏感的数据的时候是不允许被拷贝的。如果一个class不想被拷贝,我们是不是不提供拷贝的方法就能保证class的安全了呢?一起来看看吧。一个简单的SensitiveObject假如我们有下面的一个SensitiveObject,它的作用就是存储一个password,并且提供了一个修改password的方法:public class SensitiveObj...
Java 设计模式-责任链模式
CharlesYooSky的博客
01-28 4318
基于SpringBoot的Java 设计模式-责任链模式
Java设计模式-责任链设计模式实现
hezhimin1124的博客
07-20 456
在生活中,我们接触到与责任链设计模式的场景就是流程审批之类事件。以一个开发人员A请假为例。A需要发起请假申请,第一步流程走到项目组长B这里进行审批,组长B审批同意后,再接着走流程到项目经理C进行审批,在项目经理C同意之后,最终走到人事经理D这里最终审批,项目经理D审评完成后,员工A的请假才算完全通过了。 在这个案例中,每一个人员其实对自己的下一级流程领导是最清楚的。而一般员工A也不需要太了解整个流程的过程,仅需要知道自己的下一级领导即可。 整个流程中,每一个审批人员都记录自己前一...
设计模式责任链模式(tomcat filters)
zhengshg的博客
03-19 262
责任链模式是指由某件任务可以由很多处理者处理,这些处理者保存着下一个处理者的引用,行程一条链,每个处理者只能处理该任务或者将任务交由下一个处理者处理,直到该任务被某个处理者处理或者最终没有处理者为止,该任务由最开始并不知道是谁来处理这个任务,只是把任务抛给第一个处理者而已。   责任链模式类图:   个人觉得也可以不用把一个handler注入另一个handler,虽然与原始的责任链模式...
java安全类源码-Cobra:SourceCodeSecurityAudit(源代码安全审计)
06-15
Cobra是一款源代码安全审计工具,支持检测多种开发语言源代码中的大部分显着的安全问题和漏洞。 Features(特点) Multi-language Supported(支持多种开发语言) 支持PHP、Java等开发语言,并支持数十种类型文件。 ...
java.设计模式大作业 薪资交付系统
03-13
Java编程领域,设计模式是一种解决常见问题的模板或最佳实践,它被广泛应用于构建可扩展、可维护的软件系统。在这个"薪资交付系统"的大作业中,我们可以预期会涉及多种设计模式,这些模式将帮助我们高效地组织代码...
41-谈一谈java代码审计1
08-03
Java代码审计是确保软件安全的重要环节,特别是在使用广泛且功能强大的Java编程语言时。Java因其面向对象、跨平台和多线程的特性成为许多企业级应用的首选,但随之而来的便是安全问题。本文将围绕Java代码审计的关键...
Java安全漫谈 - 02.反射篇(2)1
08-03
Java安全领域,反射常被用于漏洞利用和代码审计。本文将深入探讨Java反射在安全方面的应用,特别是针对类的加载、内部类的访问、以及单例模式的理解。 首先,`Class.forName()` 方法允许我们在运行时加载一个类,...
tomcat责任链模式
laiwenqiang的专栏
01-05 1153
本文模拟一个FilterChain过滤器处理请求Request,并且返回Response。 用到的设计模式是, 责任链。 责任链设计模式 每个对象都持有下家对象的引用而形成一条链,请求在这个链条上传递,直到某个对象处理这个请求。发出请求的客户端并不知道该条链子的哪一个对象处理了消息。 定义一个Filter接口
责任链模式tomcat的应用
lby0307
10-14 345
一、责任链模式责任链模式是一种对象的行为模式。在责任链模式里,很多对象由每一个对象对其下家的引用而连接起来形成一条链。请求在这个链上传递,直到链上的某一个对象决定处理此请求。发出这个请求的客户端并不知道链上的哪一个对象最终处理这个请求,这使得系统可以在不影响客户端的情况下动态地重新组织和分配责任。  责任链模式涉及到的角色如下所示:   ●  抽象处理者(Handler)角色:定义出一个处理请求...
责任链模式Tomcat Filter应用
u011385940的专栏
08-16 2524
请求在这个链上传递,直到链上的某一个对象处理此请求。发出这个请求的客户端并不知道链上哪个对象最终会处理这个请求,这使得系统可以在不影响客户端的情况下动态的重新组织和分配责任。StandardWrapperValve 是 StandardWrapper的基础阀,其作用是加载Servlet,创建Filter过滤器,最终会调用Servlet的service方法。所有的请求由该类分发。具体处理者(ConcreteHandler)角色:具体处理者接到请求后,可以选择将请求处理掉,或者将请求传给下家。...
Tomcat中学习责任链模式
weixin_33775572的博客
07-08 134
Tomcat中学习责任链模式
责任链模式Tomcat中的应用
weixin_33769207的博客
10-24 157
责任链模式Tomcat中的应用 转自:http://www.cnblogs.com/java-my-life/archive/2012/05/28/2516865.html 感觉作者没有说到点子上,没有说出这个模式的思想,和应用的场景中带来哪些好处。 众所周知Tomcat中的Filter就是使用了责任链模式,创建一个Filter除了要在web.xml文件中做相应...
Tomcat中的设计模式--责任链模式
Java面试辅导-海龟老师
01-04 2222
责任链模式 Tomcat 中一个最容易发现的设计模式就是责任链模式,这个设计模式也是 Tomcat 中 Container 设计的基础,整个容器的就是通过一个链连接在一起,这个链一直将请求正确的传递给最终处理请求的那个 Servlet。 责任链模式的原理 责任链模式,就是很多对象有每个对象对其下家的引用而连接起来形成一条链,请求在这条链上传递,直到链上的某个对象处理此请求,或者每
设计模式——责任链模式(Chain of Responsibility Pattern)
虚心学习,和气编码
10-23 1046
这种模式给予请求的类型,对请求的发送者和接收者进行解耦。这是一个简单的责任链模式,作用也体现出来了,作为果农(请求方),我们不需要知道我们的果子被谁收购了(不需要知道我们到底要调用哪个接口),只要把果子拿出来交给责任链,他就会帮助我们找到收购方(只要交给服务器,服务器就会帮我们找到要调用的接口)。秋天来了,果农伯伯种的果子都成熟了,需要把果子卖出去,果子有好有坏,品质大不相同,所以买的方式也不一样,好的果子可能就被作为新鲜水果出售,差一点的果子可能就被作为罐头、果汁等其他方式进行销售,如下图。
java代码审计(入门级)—基础漏洞合集
weixin_49349476的博客
11-16 1284
介绍简单的java代码审计,识别程序中存在的经典漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MarginSelf

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值