AOP切面实现增删改防止重放攻击

已于 2022-08-31 09:59:49 修改
阅读量1.2k 收藏
点赞数
分类专栏: # 系统安全 文章标签: 安全 网络
于 2022-08-31 09:53:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37634156/article/details/126617756
版权

前言

认证重放攻击(高风险)

风险级别: 高风险

风险描述: 攻击者发送一个目标主机已经接收的数据包,特别是在认证过程中,用于认证用户身份时;

风险分析: 攻击者可以使用重放攻击方式伪装成用户,冒充用户身份进行一系列操作;

实现思路

        由前端在所有crud等接口在header中全局加上签名【sign】,签名由MD5与AES加密而成(可根据实际生产环境自由决定),然后后端在切片中过滤增删改的接口进行签名认证,同一个签名只在redis中留存一段时间,防止重放攻击;其他不需要防重放的接口(如查询)则跳过验证签名。

自定义注解

这里沿用自定义的接口操作写入日志注解【OperLog】

import java.lang.annotation.*;

@Target(ElementType.METHOD) //注解放置的目标位置,METHOD是可注解在方法级别上
@Retention(RetentionPolicy.RUNTIME) //注解在哪个阶段执行
@Documented
public @interface OperLog
{
    String operModul() default ""; // 操作模块
    String operType() default "";  // 操作类型
    String operDesc() default "";  // 操作说明
    // 事件级别
    String operLevel() default "低";
}

切片实现

首先明确AOP中几个注解的执行顺序

@Around注解方法的前半部分业务逻辑
->@Before注解方法的业务逻辑
->目标方法的业务逻辑
->@Around注解方法的后半部分业务逻辑(@Around注解方法内的业务逻辑若对ProceedingJoinPoint.proceed()方法没做捕获异常处理,直接向上抛出异常,则不会执行Around注解方法的后半部分业务逻辑;若做了异常捕获处理,则会执行)。
->@After(不管目标方法有无异常,都会执行@After注解方法的业务逻辑)
->@AfterReturning(若目标方法无异常,执行@AfterReturning注解方法的业务逻辑)
->@AfterThrowing(若目标方法有异常,执行@AfterThrowing注解方法的业务逻辑)

切面代码如下

@Aspect
@Component
public class OperLogAspect {

    @Autowired
    private StringRedisService redisService;


    /**
     * 设置操作日志切入点 记录操作日志 在注解的位置切入代码
     * <功能详细描述>
     *
     * @see [类、类#方法、类#成员]
     */
    @Pointcut("@annotation(com.bw.dsm.config.aop.OperLog)")
    public void operLogPoinCut() {
    }

    /**
     * 设置操作异常切入点记录异常日志 扫描所有controller包下操作
     * <功能详细描述>
     *
     * @see [类、类#方法、类#成员]
     */
    @Pointcut("execution(* com.bw.dsm.controller..*.*(..))")
    public void operExceptionLogPoinCut() {
    }

    @Around(value = "operLogPoinCut()")
    public Object authorityHandler(ProceedingJoinPoint joinPoint) throws Throwable {
        ServletRequestAttributes attributes =
                (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        //获取到请求对象
        HttpServletRequest request = attributes.getRequest();
        Boolean isValid = true;
        try {
            // 从切面织入点处通过反射机制获取织入点处的方法
            MethodSignature signature = (MethodSignature) joinPoint.getSignature();
            // 获取切入点所在的方法
            Method method = signature.getMethod();
            OperLog opLog = method.getAnnotation(OperLog.class);
            if (opLog != null) {
                String operDesc = opLog.operDesc();
                // 从数据库中获取AES加密密钥
                String secKey = sysUserMapper.selectParamByName("sec_key", "sec_key");
                if ("新增".equals(operDesc) || "修改".equals(operDesc)
                        || "删除".equals(operDesc) || "新增或编辑".equals(operDesc)) {
                    String sign = request.getHeader("sign");
                    sign = decrypt(sign, secKey);
                    Object obj = redisService.hmGet("signKey", sign);
                    if (obj != null) {
                        isValid = false;
                    }
                    redisService.hmSetByTime("signKey", sign, sign, 5000L);
                }
            }
            if(isValid == false){
                return returnLimit(request);
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return joinPoint.proceed();
    }

    public static String decrypt(String sSrc, String sKey) throws Exception {
       try {  
           // 判断Key是否正确  
           if (sKey == null) {  
               System.out.print("Key为空null");  
               return null;  
           }  
           // 判断Key是否为16位  
           if (sKey.length() != Constant.GLOBAL_INT_SIXTEEN) {
               System.out.print("Key长度不是16位");  
               return null;  
           }  
           byte[] raw = sKey.getBytes("utf-8");  
           SecretKeySpec skeySpec = new SecretKeySpec(raw, "AES");  
           Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");  
           IvParameterSpec iv = new IvParameterSpec(sKey.getBytes());  
           cipher.init(Cipher.DECRYPT_MODE, skeySpec, iv);
           //先用base64解密
           byte[] encrypted1 = new Base64().decode(sSrc);
           try {  
               byte[] original = cipher.doFinal(encrypted1);  
               String originalString = new String(original,"utf-8");  
               return originalString;  
           } catch (Exception e) {  
               System.out.println(e.toString());  
               return null;  
           }  
       } catch (Exception ex) {  
           System.out.println(ex.toString());  
           return null;  
       }  
    }
  

    private String returnLimit(HttpServletRequest request) throws Throwable {

        HttpServletResponse response = ((ServletRequestAttributes) RequestContextHolder
                .getRequestAttributes()).getResponse();
        JSONObject obj = new JSONObject();
        obj.put("errcode", "0209");
        obj.put("errmsg", "签名错误");
        response.setHeader("content-type", "text/html;charset=UTF-8");
        response.getWriter().print(obj);
        response.getWriter().flush();
        return null;
    }
}

注解使用

@PostMapping("/delLog")
@OperLog(operType = Constant.STRING_THREE,operModul = "日志删除" , operDesc = "删除", operLevel = "高")
public RestResult delLog(@RequestBody RequestParam param)
        throws Exception {
    return demandService.delLog(param.getShId());
}

唯空城
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring -- 7、springAOP增删查(利用JdbcTemplate实现增删查)
weixin_45042569的博客
07-08 467
1、将上一个项目的pom.xml文件内的插件复制过来 2、再添加MySQL和Druid(阿里巴巴) 3、 4、创建: db.properties jdbc.username=root jdbc.password=123456 jdbc.url=jdbc:mysql://localhost:3306/deom //deom是数据库名称 jdbc.driverName=com.mysql.jdbc.Driver xml文件:applicationContext <?xml
AOP切面增强,防御重放攻击
alleged的博客
12-17 982
1、背景需求 针对公司原本的接口,再不动原本业务逻辑的前提下进行重放攻击防御; 2、重放攻击原理 重放攻击是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。简单来说就是,发送一条已经执行过的消息,通过系统的身份认证,再次执行,达到攻击的目的; 3、防重放攻击解决思路 时间戳 “时戳”──代表当前时刻的数 基本思想──A接收一个消息当且仅当其包含...
外卖项目:使用AOP切面编程实现增删查的操作日志记录(debug断点调试)
知识记录
03-20 1501
把记录操作日志的通用的、重复性的逻辑代码抽取出来定义在一个通知方法当中,我们通过AOP面向切面编程的方式,在不动原始功能的基础上来对原始的功能进行增强。
AOP+注解 解决重放攻击
weixin_40317062的博客
09-12 587
防止重放攻击,简单来说就是防止多次访问 方法: @ResponseBody @RequestMapping(value = "/saveOrUpdate", method = RequestMethod.POST) @RequestLimit public Object saveOrUpdate(MallStore store, HttpServletRequest request) { 注解:@RequestLimit @Target(ElementType..
Spring AOP 对(增删操作记录日志
zhangzhen0104的专栏
07-04 1696
以下程序记录增删操作1.目标类LoginService.java   public class LogService { @SuppressWarnings("unchecked") public void logOption(JoinPoint jp) { StringBuilder str = new StringBuilder(); ...
微服务通过AOP实现增删操作记录到出具库
qq_40925546的博客
06-15 542
SpringBoot接口操作日记记录
六、数据表操作(对表的增删
sout
05-21 446
数据表操作创建数据表普通创建表基本语法:create table 表名(字段名 字段类型 [字段属性], 字段名 字段类型 [字段属性],…) [表选项]  以上错误说明:表必须放到对应的数据库下:有两种方式可以将表挂入到指定的数据库下1、 在数据表名字前面加上数据库名字,用“.”连接即可:数据库.数据表 2、在创建数据表之前先进入到某个具体的数据库即可:use 数据库名字; 表选项:与数据库选项...
Proxy实现AOP切面编程案例
08-24
主要介绍了Proxy实现AOP切面编程案例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
解决springboot的aop切面不起作用问题(失效的排查)
08-19
主要介绍了解决springboot的aop切面不起作用问题(失效的排查),具有很好的参考价值,希望对大家有所帮助。 一起跟随小编过来看看吧
使用Spring框架实现AOP切面编程.zip
03-09
本资源通过一个Category和Publisher表的实例,使用Spring框架实现AOP切面编程,其中实现增删查的功能,通过事物(tx)管理器、扫描业务逻辑、声明式事务达到切面编程效果。代码中有很详细的备注,适合新手入门
浅谈Android面向切面编程(AOP
01-04
AOP为Aspect Oriented Programming的缩写,意为:面向切面编程,通过预编译方式和运行期动态代理实现程序功能的统一维护的一种技术。AOP是OOP的延续,是软件开发中的一个热点,也是Spring框架中的一个重要内容,是...
Spring AOP面向切面编程实现原理方法详解
08-18
主要介绍了Spring AOP面向切面编程实现原理方法详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
java aop拦截增删成_SpringBoot —— AOP注解式拦截与方法规则拦截
weixin_39868592的博客
02-24 402
AspectJ是一个面向切面的框架,它扩展了Java语言。AspectJ定义了AOP语法,所以它有一个专门的编译器用来生成遵守Java字节编码规范的Class文件。SpringBoot中AOP的使用方式主要有两种:注解式拦截与方法规则拦截,具体使用如下文所示。一、创建一个简单springboot 2.03项目,添加aop依赖org.springframework.bootspring-boot-s...
spring boot 通过aop防止api连续重复访问
w981912536的博客
04-28 386
根据redisKey进行判断,是否拦截。redisKey组成:自己随便定义的前缀:PREVENT_DUPLICATION_PREFIX请求的URL:request.getRequestURI()接口请求的所有参数:request.getParameterMap()SHA1加密的方法信息:getMethodSign()重复提交判断依据:通过redisTemplate.opsForValue().set()添加请求的信息到redis。设置key的失效时间,失效时间在注解上设置。
AOP操作日志记录(将增、删、相关接口的操作日志记录到数据库表中)
weixin_46665411的博客
07-23 663
可以把这部分记录操作日志的通用的、重复性的逻辑代码抽取出来定义在一个通知方法当中,我们通过AOP面向切面编程的方式,在不动原始功能的基础上来对原始的功能进行增强。所记录的日志信息包括当前接口的操作人是谁操作的,什么时间点操作的,以及访问的是哪个类当中的哪个方法,在访问这个方法的时候传入进来的参数是什么,访问这个方法最终拿到的返回值是什么,以及整个接口方法的运行时长是多长时间。所记录的操作日志当中包括:操作人、操作时间,访问的是哪个类、哪个方法、方法运行时参数、方法的返回值、方法的运行时长。
linux系统安全及应用
最新发布
Alone8046的博客
05-30 244
一、新的服务器到手该如何部署:1.配置IP地址,网关,dns解析,内外网。3.磁盘分区:lvm及raid。二、应用:1.不需要或者不想登录的用户设置为nologin:usermod -s nologin +用户。解锁文件:chattr -i /etc/passwd。提供了一种标准的身份认证的接口(对账号权限进行控制),可以允许管理员定制化配置各种认证方式和方法。(配置的时候一定要注意:有限放开原则,用什么给什么,不需要的不加)会话管理模块:管理用户的会话,记录会话信息,注销用户的会话,远程终端连接。
Linux防火墙(以iptables为例)
Tassel_YUE的博客
05-28 944
防火墙是一种网络安全设备,用于监视和控制网络数据流量。其主要功能是在不同网络之间建立一条阻隔,对进出的数据流量进行过滤和筛选,从而保护内部网络免受未经授权的访问和恶意攻击。防火墙通过规则集合控制网络流量的通过与阻止,这些规则可以根据网络策略和需求进行配置。不正确的配置可能导致无法访问特定服务或应用程序。
导线防碰撞警示灯:高压线路安全保障
dxzhkj888888的博客
05-30 248
同时,警示灯的反光材料也起到了至关重要的作用,无论是白天还是夜晚,都能将光线反射到最远的距离,让警示效果倍增。导线防碰撞警示灯也叫高压线太阳能警示灯、户外高压线路夜间红色闪光灯,以其独特的设计和卓越的性能,成为了电力安全领域的保障。在广袤的大地上,高压线路如同血脉般纵横交错,然而,在这看似平静的电力输送背后,却隐藏着不容忽视的安全隐患。而到了夜晚,警示灯便开始了它的使命。导线防碰撞警示灯的出现,使得那些驾驶超高车辆、操作超高施工机械的司机们,也在警示灯的提醒下,更加谨慎地行驶和操作,避免了可能发生的危险。
适合能源企业的文档安全外发系统应该是什么样的?
文件数据安全交换
05-29 299
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。飞驰云联主要服务于集成电路半导体、先进制造、高科技、金融、政府机构等行业的中大型客户,现有客户超过500家,其中500强和上市企业150余家,覆盖终端用户超过40万,每年通过飞驰云联平台进行数据传输和保护的文件量达到4.4亿个。
aop 切面实现增强
09-17
AOP(Aspect-Oriented Programming)是一种编程范式,通过将横切关注点(cross-cutting concern)从主业务逻辑中分离出来,切面(Aspect)实现对主业务逻辑的增强。 AOP切面的主要作用是实现横切关注点的集中处理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值