struts拦截器+注解实现网络安全要求中的日志审计功能

最新推荐文章于 2024-05-05 13:13:25 发布
最新推荐文章于 2024-05-05 13:13:25 发布
阅读量149 收藏
点赞数
文章标签: java runtime
J2EE项目中出于安全的角度考虑,用户行为审计日志功能必不可少,通过本demo可以实现如下功能:
1.项目中记录审计日志的方法.
2.struts拦截器的基本配置和使用方法.
3.struts拦截器中获得用户访问的类和访问的方法.
4.注解的基本用法,以及在struts拦截器中使用注解.

5.struts拦截器中获得用户访问的IP地址,可扩展对IP进行鉴权功能(允许或限制某些IP).


系统运行一段时间后,通过这些审计日志还可以挖掘的内容:
1.用户行为审计,发现最异常情况及时调整和处理.
2.统计哪些模块访问的频度最高,调整界面把用户访问最高的模块放到显著位置.
3.统计各个功能模块方法的访问时长,有助于我们进行程序性能的优化.
4.用户关联行为分析,优化访问流程,提高用户体验.

项目结构:

功能代码:

AuditLogInterceptor.java(知识点见注释):

package com.tgb.lk.auditlog;

import java.lang.reflect.Method;
import java.util.Date;

import org.apache.struts2.ServletActionContext;

import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.MethodFilterInterceptor;
import com.tgb.lk.model.AuditLog;

public class AuditLogInterceptor extends MethodFilterInterceptor {

	@Override
	protected String doIntercept(ActionInvocation actioninvocation)
			throws Exception {
		AuditLog auditLog = new AuditLog();

		auditLog.setStartTime(new Date());// 设置开始时间
		String result = actioninvocation.invoke();// 递归调用拦截器
		auditLog.setEndTime(new Date());// 设置结束时间

		String userId = (String) ServletActionContext.getRequest().getSession()
				.getAttribute("userId");
		auditLog.setUserId(userId);// 设置登录用户的Id,在用户登录时把id保存到session中,这里可扩展判断用户是否登录的验证和权限验证
		/*String name = actioninvocation.getInvocationContext().getName();
		String methodName = "";

		// struts.xml中配置:
		// <package name="user" namespace="/user" extends="default">
		// <action name="user_*" class="com.tgb.lk.action.UserAction" method="{1}">
		//
		// 访问地址: http://127.0.0.1:8080/AuditLogDemo/user/user_add
		// http://127.0.0.1:8080/AuditLogDemo/user/user_del
		if (name != null && name.contains("_")) {
			methodName = name.substring(name.indexOf("_") + 1, name.length());
		}*/
		String methodName = actioninvocation.getProxy().getMethod();
		if (methodName.length() > 0) {
			Object action = actioninvocation.getAction();
			Class clazz = action.getClass();
			// 如果设置了注解则读取注解的内容,如果没有设置注解则记录登录的class名
			if (clazz.isAnnotationPresent(AuditLogger.class)) {
				AuditLogger talClazz = (AuditLogger) clazz
						.getAnnotation(AuditLogger.class);
				auditLog.setClazz(talClazz.log());
			} else {
				auditLog.setClazz(clazz.getSimpleName());
			}

			Method method = action.getClass().getMethod(methodName, null);
			// 如果设置了注解则读取注解的内容,如果没有设置注解则记录登录的method名
			if (method.isAnnotationPresent(AuditLogger.class)) {
				AuditLogger alm = (AuditLogger) method
						.getAnnotation(AuditLogger.class);
				auditLog.setMethod(alm.log());
			} else {
				auditLog.setMethod(methodName);
			}
			String ip = ServletActionContext.getRequest().getRemoteAddr();
			auditLog.setIp(ip);// 记录登录的IP,这里还可以对IP进行鉴权功能(允许或限制某些IP)
			auditLog.setResult(result);// 记录登录时返回的结果.

			System.out.println(auditLog);
			// auditLogService.save(auditLog); //保存入库
		}
		return result; // 跳转
	}

}


struts.xml: 

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE struts PUBLIC
	"-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"
	"http://struts.apache.org/dtds/struts-2.3.dtd">

<struts>

	<constant name="struts.devMode" value="true" />
	<package name="default" namespace="/" extends="struts-default">
		<interceptors>
			<!-- 日志审计拦截器 -->
			<interceptor name="auditlog"
				class="com.tgb.lk.auditlog.AuditLogInterceptor" />
			<interceptor-stack name="myStack">
				<interceptor-ref name="auditlog">
					<!--
						配置到excludeMethods中的方法将不记录日志
					-->
					<param name="excludeMethods">testExclude</param>
				</interceptor-ref>
				<!--
					struts默认的拦截器
				-->
				<interceptor-ref name="defaultStack" />
			</interceptor-stack>
		</interceptors>
		<default-interceptor-ref name="myStack" />
	</package>
	
	<!-- 注意extends="default" -->
	<package name="user" namespace="/user" extends="default">
		<action name="user_*" class="com.tgb.lk.action.UserAction" method="{1}">
			<result name="add">/index.jsp</result>
			<result name="del">/index.jsp</result>
			<result name="modify">/index.jsp</result>
			<result name="view">/index.jsp</result>
		</action>
	</package>

</struts>

注解类AuditLogger.java: 

package com.tgb.lk.auditlog;

import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Retention(RetentionPolicy.RUNTIME)
@Target( { java.lang.annotation.ElementType.METHOD,
		java.lang.annotation.ElementType.TYPE })
public @interface AuditLogger {

	public abstract String log();

}
Struts的Action中使用配置: 

package com.tgb.lk.action;

import com.tgb.lk.auditlog.AuditLogger;

@AuditLogger(log = "用户管理")
public class UserAction {

	@AuditLogger(log = "添加用户")
	public String add() {
		return "add";
	}

	@AuditLogger(log = "删除用户")
	public String del() {
		return "del";
	}

	@AuditLogger(log = "修改用户")
	public String modify() {
		return "modify";
	}

	@AuditLogger(log = "浏览用户信息")
	public String view() {
		return "view";
	}

}
实体类AuditLog.java 

package com.tgb.lk.model;

import java.util.Date;

public class AuditLog {
	private int id;
	private String userId;
	private Date startTime;
	private Date endTime;
	private String ip;
	private String clazz;
	private String method;
	private String result;

	public int getId() {
		return id;
	}

	public void setId(int id) {
		this.id = id;
	}

	public String getUserId() {
		return userId;
	}

	public void setUserId(String userId) {
		this.userId = userId;
	}

	public Date getStartTime() {
		return startTime;
	}

	public void setStartTime(Date startTime) {
		this.startTime = startTime;
	}

	public Date getEndTime() {
		return endTime;
	}

	public void setEndTime(Date endTime) {
		this.endTime = endTime;
	}

	public String getIp() {
		return ip;
	}

	public void setIp(String ip) {
		this.ip = ip;
	}

	public String getClazz() {
		return clazz;
	}

	public void setClazz(String clazz) {
		this.clazz = clazz;
	}

	public String getMethod() {
		return method;
	}

	public void setMethod(String method) {
		this.method = method;
	}

	public String getResult() {
		return result;
	}

	public void setResult(String result) {
		this.result = result;
	}

	@Override
	public String toString() {
		return "AuditLog [id=" + id + ", userId=" + userId + ", ip=" + ip
				+ ", startTime=" + startTime + ", endTime=" + endTime
				+ ", clazz=" + clazz + ", method=" + method + ", result="
				+ result + "]";
	}

}

代码下载地址:http://download.csdn.net/detail/lk_blog/6003581

限于本人水平有限,很多地方写的并不完美,望大家不吝赐教,希望在和大家的交流中得到提高.


iteye_11495
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AOP实现日志和异常处理
醉笑陪公三万场
05-19 6560
处理日志和异常的手段有很多,可以用拦截器、可以用struts2自带的异常处理机制。。。,还有一种就是spring的aop。         当n个项目,分别用springmvc、struts2开发时,想要统一处理异常,并记录日志,貌似只能用aop来实现。 遇到异常就向外抛,是个很好的习惯,同时也个很不好的习惯,如果用了aop处理异常,就可以随意向上抛, 每个方法都用try-catch捕获异常,这
Structs2+Spring实现aop日志与问题解决
shandadadada的博客
07-30 1333
struct2+spring实现sop日志与问题解决
spring 使用aop切面实现系统操作日志记录
weixin_43190879的博客
02-15 570
使用aop切面编程实现系统操作日志记录实现
struts2全局异常处理及配合log4j异常日志记录
Poet
01-20 1233
在编写代码时除了使用try catch来捕获异常之外,还可以用struts2的声明式异常处理,即在Action直接抛出异常交给struts2来处理,并且在xml文件进行相应的配置,如下: 01 <!--设置全局返回结果 --> 02 global-results> 03
Java审计框架基础
goddemon
08-19 1522
好像已经很久没发过文章了,水一篇吧,最近在回头恶补java web的一些东西还有研究链条和内存马的一些东西,有些东西还没整明白,怕误人子弟,所以暂时就不发了。 后面等学明白了在发吧,先发一篇java审计需要的一些基础知识点吧,也能算是开发吧(也是笔者基于javaweb学习过程自己基于自己的理解的一些学习笔记,所以可能存在一些问题,若有问题,希望批评指教),也希望能给入坑审计java审计的人一些参考吧。 而至于实战审计的一些文章,最近一段时间应该是不会打算发的,倒不是说没相关的素材,最近也确实审计了不少的
使用struts拦截器+注解实现日志审计功能
08-24
使用struts拦截器+注解实现日志审计功能 详见博客: http://blog.csdn.net/lk_blog/article/details/10248395
struts2 用拦截器 实现用户权限登录
11-14
struts2 用拦截器 实现用户权限登录 可以直接运行,只单单用到struts的东西。 struts2 用拦截器 实现用户权限登录 可以直接运行,只单单用到struts的东西。
详解Struts2对未登录jsp页面实现拦截功能
10-19
主要介绍了Struts2对未登录jsp页面进行拦截功能实现,在演示源码的同时对步骤和原理进行了分析,具有一定参考价值,需要得朋友可以了解下。
Struts拦截器实现拦截未登陆用户实例解析
08-28
主要介绍了Struts拦截器实现拦截未登陆用户实例解析,分享了相关代码示例,小编觉得还是挺不错的,具有一定借鉴价值,需要的朋友可以参考下
基于javastruts+hibernate实现的网络购物系统
03-31
运行界面有截图
什么是日志审计
热门推荐
weixin_45057618的博客
08-31 1万+
什么是日志 日志 简单的说,日志就是计算机系统、设备、软件等在某种情况下记录的信息。具体内容取决于日志的来源。例如: unix操作系统会记录用户登录和注销等信息的日志 防火墙会记录访问控制协议acl通过和拒绝等消息的日志 有些系统在用户登录时或者在系统本身认为会发生一些故障时发出带有告警信息的日志 有些产品会在本身存储不足时发出带有磁盘储量不足的信息的日志 对于运维管理人员来说这些含有重要数据信息(用户登录信息,系统错误信息,磁盘信息,数据库信息等)的日志非常重要,可以通过这些日志信息对整..
什么是日志审计系统?日志审计系统有什么用?
最新发布
如需功能开发提供开发说明,请发送邮件至[email protected]
05-05 70
日志审计系统是一种关键的信息安全和网络管理工具,它通过收集、分析和存储计算机系统、网络和应用程序产生的日志信息来帮助组织监控其信息系统的安全状态,检测异常行为,以及遵守各种合规要求。这些系统对于维护系统的完整性和安全性、识别和响应安全事件以及进行事后分析至关重要。
日志审计功能实现
GuYan的博客
08-30 5263
日志审计功能就是将用户进行的增加、修改和删除操作内容、操作方法、操作人以及操作时间等统一格式后集放入数据库存储,这样做是为了提高系统的安全性,方便系统发生事故后的溯源和恢复。
java 审计日志_审计日志实现
weixin_35902481的博客
02-16 4088
切面的entity用来记录审计日志的内容.切面类用来实现记录升级日志的操作.这里还有一些辅助的类,比如枚举类,枚举出了所有的模块及名称.这些基本工作做好了以后,在需要使用审计日志的模块,添加类似下面这样一段语句就可以了。以导入为例,我要为导入添加审计日志。先实例化一个审计日志AuditLog,然后执行相应的方法就可以了。我这里调用的是导入的import2DB,导入方法。由此可以推断:我在审计日志...
struts2的interceptor总结
༺ bestcxx的专栏 ༻
05-30 696
struts2的interceptor的使用总结 1、体现AOP(面向切面编程) 2、在struts.xml配置文件的内部调用 3、可以使用默认的,也可以使用自己写的,调用方法一样   4、默认的拦截器struts2提供了基础服务,当声明自己的拦截器时必须显示声明默认的拦截器 5、自己的拦截器需要在struts.xml配置
Struts2精萃之interceptor
chifancui9836的博客
11-25 73
下面这段话能完美诠释拦截器的含义: 拦截器是AOP的概念,它本身是一段代码,可以通过定义“织入点”,来指定拦截器的代码在“织入点”的前后执行,从而起到拦截的作用。Struts2的Interceptor,其拦截的对象是Action代码,可以定义在Action代码之前或者之后执...
Hibernate拦截器示例–审核日志
一名可爱的技术搬运工
05-21 435
Hibernate具有强大的功能,称为“ 拦截器 ”,可拦截或挂钩其他类型的Hibernate事件,例如数据库CRUD操作。 在本文,我将演示如何使用Hibernate拦截器实现应用程序审核日志功能,它将所有Hibernate保存,更新或删除操作记录到名为“ auditlog ”的数据库表。 Hibernate拦截器示例–审核日志 1.创建一个表 创建一个名为“ auditlo...
审计日志功能实现优化及测试记录(参照若依系统,以dolphinscheduler 2.0.5 为例,实现相关功能
11-27 1442
🐬使用 🐠若依-操作日志 🐠引入海豚调度 🐟引入审计日志包,增加`LogAnnotation`注解 🐬问题记录及优化 🐠service方法注解时而生效,时而不生效 🐟不生效原因 🐟修改 🐡自我注入(纯测试) 🐡接口增加该方法 🐠优化,增加批次号 🐟ThreadLocal的使用 🐡测试结果 🐟地理位置的获取
SpringBoot常用注解大全
zzhongcy的专栏
05-07 727
转自:https://itworld520.com/2020/04/29/springboot%E5%B8%B8%E7%94%A8%E6%B3%A8%E8%A7%A3%E5%A4%A7%E5%85%A8%EF%BC%8C%E6%9C%80%E5%B8%B8%E7%94%A8%E7%9A%84%E9%83%BD%E5%9C%A8%E8%BF%99%E9%87%8C%E4%BA%86%EF%BC%8C...
struts2权限拦截器
05-31
Struts2 ,可以使用拦截器实现权限控制。具体来说,可以编写一个自定义的拦截器,然后在 struts.xml 配置文件将其配置为需要进行权限控制的 Action 的拦截器。以下是一个简单的权限拦截器示例: ```java ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值