java基于模块的数据字典权限验证防止数据越权攻击

已于 2022-03-17 10:48:17 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: Java 安全相关 文章标签: java 数据越权
于 2022-03-16 17:11:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liaomingwu/article/details/123524423
版权

允许的数据保存在会话中,属性为"modulePerm",数据结构为Map结构,各个模块的数据相互独立,各个模块的key值不同,比如用户模块就是"sysUser"。

每个模块内,又可以设置多个需要校验的属性,每个属性设置不同的名称。

1. 添加权限数据

void addCheckData(String modueName, String keyName, HashSet hset) {
		// 权限数据
		HashMap permMap = new HashMap<String, HashSet>();

		permMap.put(keyName, hset);

		// 分模块验证数据
		HashMap moduleMap = new HashMap<String, HashMap>();

		// 设置模块
		moduleMap.put(modueName, permMap);

		HttpSession session = ServletUtils.getSession();

		session.setAttribute("modulePerm", moduleMap);

	}

2. 验证数据方法

void verifyCheckData(String modueName, String keyName, ArrayList<String> arrayValue) {
		HttpSession session = ServletUtils.getSession();
		HashMap moduleMap = (HashMap) session.getAttribute("modulePerm");

		// 获取模块需要验证的内容
		HashMap<String, HashSet<String>> map = (HashMap<String, HashSet<String>>) moduleMap.get(modueName);

		if (map != null) {
			for (Map.Entry<String, HashSet<String>> entry : map.entrySet()) {
				String key = entry.getKey();
				HashSet<String> valSet = entry.getValue();

				// 指定了key,只验证指定key,其他key跳过当前验证
				// 空值表示验证所有规则
				if (StringUtils.isNotEmpty(keyName) && !key.equals(keyName)) {
					continue;
				}				
				
				// 这里的id应该在允许的map里面
				for (String str : arrayValue) {

					if (!valSet.contains(str)) {
						// 非法参数
						throw new BusinessException("非法参数");
					}
				}
			}

		}
		else
		{
			// 非法参数
			throw new BusinessException("非法参数");
		}
	}

3. 添加数据

查询权限范围内的数据的同时,将数据保存到会话中。

public class SysUserController extends BaseController {
		
	private String MODULE_NAME = "sysUser";
	private String CHECK_KEY_1 = "roleIds";
	
	public String add(ModelMap mmap) {
		List<SysRole> listRole = roleService.selectRoleAll();

		HashSet hset = new HashSet<String>();

		for (SysRole role : listRole) {
			Long roleId = role.getRoleId();

			hset.add(roleId.toString());
		}

		addCheckData(MODULE_NAME, CHECK_KEY_1, hset);

		mmap.put("roles", listRole);
		mmap.put("posts", postService.selectPostAll());
		return prefix + "/add";
	}	
	
}

4. 执行验证

在执行数据保存的时候,进行参数验证。

public class SysUserController extends BaseController {
		
	private String MODULE_NAME = "sysUser";
	private String CHECK_KEY_1 = "roleIds";
		
	
	public AjaxResult addSave(SysUser user) throws Exception {

		ArrayList arrayList = new ArrayList<String>();
		
		for(Long id : user.getRoleIds())
		{
			arrayList.add(id.toString());
		}
		
		verifyCheckData(MODULE_NAME, CHECK_KEY_1, arrayList);
	}	
}

比如在添加用户操作中,返回的页面之前,需要读取允许添加的用户角色列表,可以将该数据保存到会话中,当保存添加的用户时,就可以根据之前保存的数据校验用户角色是否在允许的范围内,如果不在允许范围内,则可以说明被篡改过,此时不应执行添加用户。

除了添加以外,对于修改用户和删除用户,也可以采用类似思路进行处理。

在实际的项目应用中,可以把添加数据和验证数据的方法添加到父类,这样子类就可以直接调用了,不用在每个子类中添加这两个方法。

程序猿20
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java代码审计】越权
大河之犬的博客
05-11 551
失效的访问控制是指未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据,例如访问其他用户的账户、查看敏感文件、修改其他用户的数据、更改访问权限等。业界常将典型的越权漏洞划分为横向越权与纵向越权这两类。1、横向越权横向越权权限平级的两个用户之间的越权访问。比如一个普通的用户 A 通常只能够对自己的一些信息进行增、删、改、查,但是由于开发者的疏忽大意,Web应用在对信息进行增、删、改、查时未判断所操作的信息是否属于对应的用户。
java多级部门数据权限设计_数据权限设计(转载)
weixin_39681621的博客
02-26 4960
一、前言几乎在任何一个系统中,都离不开权限的设计,权限设计 = 功能权限 + 数据权限,而功能权限,在业界常常是基于RBAC(Role-Based Access Control)的一套方案。而数据权限,则根据不同的业务场景,则权限却不尽相同,应该根据具体的场景巧妙设计; 且必须在项目开始时进行设计,不像功能权限一样,在项目结束的时候在追加。注:更细还可以加入字段权限1.1 权限类型【功能权限】:能...
数据越权数据一致性问题
weixin_45609307的博客
11-02 870
数据越权和单应用数据一致性问题
Java,设计,功能权限数据权限,用户、角色、权限和用户组
zhaohuodian的博客
08-28 9538
ACL是一种访问控制机制,包含三个关键要素:用户(User)、资源(Resource)和操作(Operate),当用户请求操作资源时,检查资源的权限列表,如果资源的权限列表中存在该用户的操作权限则允许,否则拒绝。RBAC模型,三个基础组成部分:用户(User)、角色(Role)和权限(Privilege),通过定义角色的权限,授予用户某个角色从而来控制用户的权限,实现了用户和权限的逻辑分离(区别于ACL模型);...
数据权限设计思路_通用数据权限的思考与设计
weixin_39556474的博客
11-20 1223
作者:_liuxxhttp://cnblogs.com/liuyh/p/9774998.html1、数据权限概述1.1、什么是数据权限数据权限是指对系统用户进行数据资源可见性的控制,通俗的解释就是:符合某条件的用户只能看到该条件下对应的数据资源。那么最简单的数据权限大概就是:用户只能看到自己的数据。而在正式的系统环境中,会有很多更为复杂的数据权限需求场景,如:领导需要看到所有下属员工的客户数据,...
RuoYi中数据权限实现
weixin_59643862的博客
11-02 2268
.
防止用户越权修改其他用户的数据
05-08
防止用户越权修改其他用户的数据
java_db.rar_数据字典_数据权限_权限 数据
09-23
本文将深入探讨基于Java权限管理系统数据库设计以及数据字典的相关知识。 首先,我们要理解“数据字典”。数据字典数据库设计过程中的一个重要组成部分,它包含了数据库中所有元素的详细描述,如表、字段、数据...
自定义数据字典工程模块
最新发布
06-18
这个资源是一个【数据字典模块,主要功能是可以用于数据字典和系统参数的维护,分为:数据字典分类、数据字典(系统参数)、数据字典项三个模块,一个分类下可以有多个数据字典(或系统参数),一个数据字典下可以...
java 代码生成 权限控制 数据字典 菜单管理 项目源码
07-20
java 代码生成 权限控制 数据字典 菜单管理 此工程为项目源码,供大家学习使用,可以提高开发效率,增删改查一些重复的工作就不用做了 采用SpringMVC + Mybatis + Ehcache + Jquery + Boostrap + treetable + ztree ...
用友PLM Professional 数据字典
02-13
3. **数据安全**:明确数据的访问权限和使用规则,防止敏感数据泄露,保护企业的知识产权。 4. **数据质量管理**:通过数据字典可以追踪数据的变化历史,发现并纠正数据错误,提升数据质量。 5. **提高工作效率**...
用户登录过滤相关页面,过滤URL越权访问
06-23
java 过滤器,用户登录过滤相关页面,过滤URL越权访问
java的细粒度权限和shiro权限校验 ssh
11-22
java的细粒度权限和shiro权限校验 Spring + Struts + hibernate
Saas.数据权限控制(Sql解析)
记录 分享 成就
04-08 3739
目录 承前 概念概述 权限概述 数据权限要素 操作控制 规则定义 方案选型 方案一:子查询: 方案二:手动添加Sql控制 方案三:借助视图 方案四:Sql解析器 比对选型 条件视图实现 Mybatis访问 添加配置 DB侧 性能问题 Sql解析器实现 支持场景 资源定义 操作控制 DruidSql解析器逻辑 Join Union Where DruidSqlParser Mybatis拦截器代码 总结 承前 如果一个表根据t...
基于AOP方式实现数据权限的校验
weixin_39956506的博客
02-20 1062
基于AOP方式实现数据权限的校验。
使用注解进行过滤拦截
哇哈哈的博客
08-12 666
1.创建注解 import java.lang.annotation.*; /*** * @Target 注解修饰类型 * @Retention 生命周期 * @Documented注解标记的元素,Javadoc工具会将此注解标记元素的注解信息包含在javadoc中 */ @Target(value = {ElementType.METHOD,ElementType.TYPE,Ele...
防重放、防篡改攻击的实现(Java版)
Mango的博客
12-14 4357
防重放、防篡改攻击的实现(Java版)
java防止xss攻击(过滤器)
meat_eating的博客
11-08 2975
java防止xss攻击
java越权访问_APP渗透测试服务 该如何对越权漏洞进行测试
weixin_34506795的博客
12-26 572
渗透测试在网站,APP刚上线之前是一定要做的一项安全服务,提前检测网站,APP存在的漏洞以及安全隐患,避免在后期出现漏洞,给网站APP运营者带来重大经济损失,很多客户找到我们做渗透测试服务的同时,我们积累了十多年的漏洞检测经验,对客户的网站各项功能以及APP进行全面的安全检测,下面我们就对渗透测试中的一些知识点跟大家科普一下:越权漏洞是什么?详细的跟大家讲解一下什么是越权漏洞,在整个渗透测试过程中...
校园卡一卡通方案数据字典
04-30
校园卡一卡通方案数据字典

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值