CKEditor与CKFinder学习--安全的使用CKFinder与权限控制

最新推荐文章于 2021-02-15 15:33:41 发布
最新推荐文章于 2021-02-15 15:33:41 发布
阅读量8.5k 收藏 4
点赞数 2
分类专栏: 网页编辑器 ckfinder 文章标签: ckfinder
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/frankcheng5143/article/details/50959364
版权

0 前言

上一篇博客中说了ckeditor与ckfinder整合之后进行图文混排的时候通过浏览服务器按钮可以浏览服务器上的所有资源,文件,图片,该用户上传的,非该用户上传的,不仅可以查看,还可以删除、重命名等。所以不是很安全。

这里写图片描述

这里写图片描述

上一篇博客介绍了一种方法就是直接屏蔽掉浏览服务器的按钮,这样用户就只能上传,通过上传后再引用。不过尽管把按钮屏蔽了,但是链接的路径依然存在。
通过访问
http://127.0.0.1:8080/ckdemo/assets/ckfinder/ckfinder.html
用户依然可以访问到文件浏览的页面

这里写图片描述
所以本文的第一个就是介绍如何不让用户访问http://127.0.0.1:8080/ckdemo/assets/ckfinder/ckfinder.html页面。
不让用户访问上面的页面,可以有很多种方法,可以参考之前的Shiro进行拦截,然而本文今天介绍使用SpringMVC的拦截器对其进行拦截。

1 通过拦截器阻止直接访问

1.1 定义拦截器

实现HandlerInterceptor接口

package com.gwc.cktest.intercepter;

import java.util.Enumeration;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.commons.lang3.StringUtils;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

public class CkfinderInterceepter implements HandlerInterceptor {
    private static final Log logger = LogFactory.getLog(CkfinderInterceepter.class);

    @Override
    public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, Exception arg3)
            throws Exception {
        logger.info("==========走到了 afterCompletion() 方法");
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object obj, ModelAndView model)
            throws Exception {
        logger.info("==========走到了 postHandle() 方法");
    }

    // 返回值,表示我们是否需要将当前的请求拦截下来
    // 如果返回false,请求将被终止,如果为true,请求将被放行
    // Object arg2 表示的是被拦截的请求的目标对象
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object arg2) throws Exception {
        logger.info("==========走到了 preHandle() 方法"+"==========");
        logger.info("==========进行拦截==========");
        return false;
    }

}

1.2 配置拦截器和拦截规则

在SpringMVC的配置文件中进行拦截器的配置和拦截规则的设定

    <mvc:interceptors>
        <mvc:interceptor>
            <!-- 拦截规则 -->
            <mvc:mapping path="/**/ckfinder.html" />
            <!-- 拦截器 -->
            <bean class="com.gwc.cktest.intercepter.CkfinderInterceepter"></bean>
        </mvc:interceptor>
    </mvc:interceptors>

因为我们需要拦截的是
http://127.0.0.1:8080/ckdemo/assets/ckfinder/ckfinder.html
所以我们的拦截规则设置为/**/ckfinder.html

1.3 效果

没有配置拦截器

这里写图片描述

配置拦截器之后

这里写图片描述

这种方式有点类似CSDN写博客了,只允许上传图片或者引用其他在线图片,不能浏览
这里写图片描述

2 细粒度的权限控制

细粒度的权限控制中,我们将不会全部拦截对http://127.0.0.1:8080/ckdemo/assets/ckfinder/ckfinder.html的请求,而是进行有条件的拦截,条件就是ckfinder权限中的角色session对应的key为CKFinder_UserRole,我们在拦截器中需要查看session中是否有有CKFinder_UserRole再决定放行与否。在用户登录的时候往session中写CKFinder_UserRole。
具体流程图如下。

这里写图片描述

先来配置资源访问的访问控制(ACL),这部分在ckfinder.xml中进行配置。

2.1 配置ckfinder.xml

首先阅读一下ckfinder的开发者文档
http://docs.cksource.com/CKFinder_2.x/Developers_Guide/Java/Configuration/Access_Control
它介绍了访问控制,主要是通过配置accessControls来控制用户的权限的

<!--
The session variable name that CKFinder must use to retrieve
the "role" of the current user. The "role", can be used in the "accessControls"
settings (bellow).
-->
    <userRoleSessionVar>CKFinder_UserRole</userRoleSessionVar>
    <accessControls>
        <accessControl>
            <role>*</role>
            <resourceType>Images</resourceType>
            <folder>/Logos</folder>
            <folderView>true</folderView>
            <folderCreate>true</folderCreate>
            <folderRename>true</folderRename>
            <folderDelete>true</folderDelete>
            <fileView>true</fileView>
            <fileUpload>false</fileUpload>
            <fileRename>false</fileRename>
            <fileDelete>false</fileDelete>
        </accessControl>
    </accessControls>

所有的权限都在accessControls标签中,具体的权限被配置在一个个accessControl中
其中第一个role标签代表的是角色,与其称作角色不如称为key为CKFinder_UserRole的session,在userRoleSessionVar可以配置。
你可以配置自己喜欢的session使其key为CKFinder_UserRole的value为你喜欢的任何字符串,不过最好能见名知意,*表示是所有的用户都可以访问。
其他标签也很好理解resourceType表示资源类型,以folder开头的是对文件夹的操作权限,以file开头的是对文的操作权限。

2.1.1 权限配置

现在我们配置两种权限,一个是admin,权限最大,什么权限都有,另一个是user权限,他只能查看根目录下的Images资源,而且对文件夹有只读操作和创建操作,对文件具有查看和上传操作。

    <userRoleSessionVar>CKFinder_UserRole</userRoleSessionVar>
    <accessControls>
        <accessControl>
            <role>admin</role>
            <resourceType>*</resourceType>
            <folder>/</folder>
            <folderView>true</folderView>
            <folderCreate>true</folderCreate>
            <folderRename>true</folderRename>
            <folderDelete>true</folderDelete>
            <fileView>true</fileView>
            <fileUpload>true</fileUpload>
            <fileRename>true</fileRename>
            <fileDelete>true</fileDelete>
        </accessControl>
        <accessControl>
            <role>user</role>
            <resourceType>Images</resourceType>
            <folder>/</folder>
            <folderView>true</folderView>
            <folderCreate>true</folderCreate>
            <folderRename>false</folderRename>
            <folderDelete>false</folderDelete>
            <fileView>true</fileView>
            <fileUpload>true</fileUpload>
            <fileRename>false</fileRename>
            <fileDelete>false</fileDelete>
        </accessControl>
    </accessControls>

2.2 拦截器实现

将上面的拦截器进行修改,只改preHandle方法,如果session中有CKFinder_UserRole则放行,否则拦截请求。

    // 返回值,表示我们是否需要将当前的请求拦截下来
    // 如果返回false,请求将被终止,如果为true,请求将被放行
    // Object arg2 表示的是被拦截的请求的目标对象
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object arg2) throws Exception {
        logger.info("==========走到了 preHandle() 方法"+"==========");
        HttpSession session = request.getSession();
        String user = (String) session.getAttribute("CKFinder_UserRole");
        if (StringUtils.isNotEmpty(user)) {
            logger.info("==========session中的CKFinder_UserRole:"+user+"==========");
            return true;
        }
        logger.info("==========session中没有CKFinder_UserRole进行拦截==========");
        return false;
    }

2.3 登录时写session

@RequestMapping(value = "/admin.html", method = RequestMethod.POST)
    @ResponseBody
    public String ckAdmin(HttpServletRequest request, String userId) {
        logger.info("==========" + userId + "登陆了" + "==========");
        HttpSession session=request.getSession();
        // 这里的逻辑很简单,如果是admin就将session中CKFinder_UserRole设为admin,其他的设置为user
        if (userId.equals("admin")) {
            session.setAttribute("CKFinder_UserRole", "admin");
        } else {
            session.setAttribute("CKFinder_UserRole", "user");
        }
        logger.info("==========" + "session 设置成功" + "==========");
        return "session 设置成功";
    }

退出时清空session

@RequestMapping(value = "/logout.html", method = RequestMethod.POST)
    @ResponseBody
    public String ckLogout(HttpServletRequest request) {
        HttpSession session = request.getSession();
        Enumeration<?> e = session.getAttributeNames();
        while (e.hasMoreElements()) {
            String sessionName = (String) e.nextElement();
            logger.info("==========存在的session有:" + sessionName + ":"+session.getAttribute(sessionName)+"==========");
            session.removeAttribute(sessionName);
        }
        logger.info("==========" + "session 移除成功" + "==========");
        return "session 移除成功";
    }

2.4 演示

2.4.1 没有session

当用户没有登录,也就是说session中还什么都没有的时候

这里写图片描述

用户通过浏览服务器什么也干不了

这里写图片描述

http://127.0.0.1:8080/ckdemo/assets/ckfinder/ckfinder.html也是无法访问的。

这是日志信息

这里写图片描述

2.4.2 session中CKFinder_UserRole为user

这里写图片描述

这个时候用户只能浏览,上传,不能删除照片,重命名照片

这里写图片描述

当然,通过http://127.0.0.1:8080/ckdemo/assets/ckfinder/ckfinder.html直接访问,用户只能看到Images文件夹,对文件夹也只能读和创建操作

这里写图片描述

2.4.3 session中CKFinder_UserRole为admin

这里写图片描述

这个时候用户可以进行所有的操作

这里写图片描述

当然,通过http://127.0.0.1:8080/ckdemo/assets/ckfinder/ckfinder.html直接访问可以看到其他的文件夹,且具有删除操作

这里写图片描述

ckfinder的安全使用就写到这里。

示例地址

https://github.com/peer44/ckeditor

参考文献

http://docs.cksource.com/CKFinder_2.x/Developers_Guide/Java/Configuration/Access_Control

GW_Cheng
关注
专栏目录
com.ckfinder
12-28
com.ckfinder.apache-ant-zip、com.ckfinder.ckfinder、com.ckfinder.ckfinderplugin-fileeditor、com.ckfinder.ckfinderplugin-imageresize
整合ckeditor+ckfinder实现图片或文件上传功能
最新发布
10-11
集成`ckfinder`时,你需要在服务器端安装并配置ckfinder,包括设置文件存储路径、权限控制等。对于JAVA项目,ckfinder有对应的JAVA版,你可以从官方下载并导入到你的工程中。配置ckfinder时,需要定义连接器...
关于CKeditor的个性应用设置 转
weixin_33889665的博客
05-23 144
转自http://www.jb51.net/ " 因为我的网站需要一个编辑器,所以用周末时间研究了一下CKeditor,终于最终修改成了合适的样子。 CKeditor,以前叫FCKeditor,已经使用过好多年了,功能自然没的说。最近升级到3.0版,好像重写了代码,所以构建的方式也有了些变化,应该说是更简单了。相关地址:官方网站:http://ckeditor.co...
ckfinder java 配置_CKfinder for java详解一:权限配置
weixin_33592736的博客
02-13 340
【转自】CKfinder for java详解一:权限配置友情链接:1.解决Struts2下CKfinder无法使用的问题2. CKfinder for java详解二:缩略图及图片上传的缩放一直在采用CKfinder + CKeditor这两个黄金组合,技术联盟群里经常有人问我,JAVA版本的权限控制问题!其实这些问题官方都给出了很明细的解答,在这里我还是给各位做个详解吧!希望大家看到我的这篇文...
CKFinder (Java) --- 定义访问控制
czp1001的专栏
09-17 2528
访问控制列表是保证用户用不同权限使用CKFinder来操作文件夹或文件。可以在config.xml中加以配置。      访问控制列表的基本语法如下: * * / true true true true true true true true       role: 设置用户的类型。默认的*表示所有人。用户类型的名字和他能使用
CKfinder for java详解一:权限配置
Hnot_yet的专栏
03-01 394
[size=medium]【转自】[url=http://www.toher.cn/News/kfjc_1248_53.html]CKfinder for java详解一:权限配置 [/url] 友情链接: 1.[url=http://www.toher.cn/News/kfjc_1248_52.html][color=red]解决Struts2下CKfinder无法使用的问题[/color]...
ASP.NET中CKEditorCKFinder的配置使用
01-02
CKEditorCKFinder 的包含在项目中,并添加程序集的引用 从http://cksource.com网站上下载CKEditorCKFinder,并将这两个解压的项目之下,里面的 samples文件夹中是示例,是不需要的可以将samples文件夹直接...
ckeditor+ckfinder组合下载 (php演示版,2019年最新,绝对好用) ckeditor4+ckfinder3.1
08-18
CKFinder 是一个与 CKEditor 配合使用的文件管理器,用户可以通过它在网页上上传、浏览、管理和删除文件。CKFinder 3.1 版本改进了性能和用户体验,提供了多种语言支持,并且对各种文件类型(如图像、文档、音频和...
ckeditorckfinder
10-30
CKEditorCKFinder是两个在Web开发中广泛使用的工具,主要服务于富文本编辑和资源管理的需求。CKEditor是一款强大的开源JavaScript文本编辑器,而CKFinder则是一个与之配套的文件管理器,允许用户方便地上传、浏览...
jeesite自定义ckfinder2.x以实现动态权限控制
weixin_33951761的博客
04-18 385
2019独角兽企业重金招聘Python工程师标准>>> ...
ckfinder.rar
07-23
ckfinder插件,需要的请自行下载,直接解压引入即可使用..................................
ckfinder2.4.2
07-20
修改官方ckfinder 按照年月自动划分文件夹
CKFinder 文件管理器 v3.4.4 for asp.net
10-11
CKFinder是一个易于使用的Ajax文件管理器。提供文件夹树形结构(Folders tree)导航菜单,多语言支持(自动探测用),支持创建/重命名/删除文件和文件夹,集成FCKeditor在线编辑器。软件
ckfinder安装包
12-22
ckfinder安装包 3.用注册机生成注册码,将它们全部复制下来替换C:\\Program Files (x86)\\ArcGIS\\License10.1\\bin\\service.txt中的内容,将其中的用户名 this_host 改为自己的计算机名,如SOLAR-PC。 4.在开始菜单中打开License Server Administrator,启动服务。 5.在开始菜单中打开ArcGIS Administrator,将“许可管理器”中的Not_set改成localhost。
kcfinder4j(java版kcfinderckfinder,ajax在线文件管理)
04-07
大家还在找ckfinder的java版吗? 我一直都没找到,或者找到的又诸多错误。 尝试过tomcat跑php来运行ckfinder和kcfinder,但还是有问题。 索性自己做一个了。 当然我这个只是一个demo,没有图片缩略功能。 但基本的ajax加载都做好了。 详细说明:http://www.cnblogs.com/kenkofox/archive/2011/04/07/2007710.html
wmic远程执行命令拒绝访问_使用WebDeploy部署远程IIS网站
weixin_39727743的博客
12-10 592
目录使用WebDeploy部署远程IIS网站后台服务部署服务器配置本地WebDeploy发布文件配置前端页面部署WebDeploy服务端配置WebDeploy发布文件配置使用WebDeploy部署远程网站后台服务部署服务器配置打开IIS管理器(开始->控制面板->管理工具->IIS管理器)添加网站(右键网站->添加网站)如下图选择添后的网站,并赋予相应的IIS用户权限(选择...
ckfinder使用及了解config.xml的配置
qqtian5的专栏
12-05 7462
ckfinder使用,根据官网向导(CKFinder_2.x/Developers_Guide)自己写的笔记 1、将ckfinder_java_2.4.3\CKFinder-Java-2.4.3\ckfinder目录放到根目录下面,WEB-INF/lib中的jar文件全部放到项目中的lib下面 2、将config.xml放到WEB-INF目录下面 3、修改config.xml文件下的配置
java ckfinder_java 使用ckfinder
weixin_42545066的博客
02-15 301
下载ckfinder包配置ckfinderweb.xml 中配置如下CKFinderConnectorServletqnit.modules.ckfinder.CKFinderConnectorServletXMLConfig/WEB-INF/ckfinder.xmldebugfalseconfigurationqnit.modules.ckfinder.CKFinderConfig1CKFind...
java 使用ckfinder
lipingping951462的专栏
02-24 4221
web.xml 中配置如下 CKFinderConnectorServlet qnit.modules.ckfinder.CKFinderConnectorServlet XMLConfig /WEB-INF/ckfinder.xml debug false configuration qnit.modules.ckfinder.CKFinderConf
ckeditorckfinder配置教程详解
"本文主要介绍了如何配置网页编辑器CKEditor以及与其配合使用的文件管理插件CKFinderCKEditor是一款广泛应用于互联网的富文本编辑器,而CKFinder则用于提供图片和文件上传功能。以下是详细的配置步骤及一些常用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值