利用自定义注解和拦截器为信息安全存在问题的老Java Web系统添加鉴权能力
公司的系统比较老了,再加上成本限制,信息安全方面做的不够好,菜单的权限分配是靠判断是否在首页展示给用户来决定的,如果有人能够拿到未被展示的菜单中执行相关业务逻辑的url(比如修改密码的url:/user/changePassword),即使没有权限也能进入。
由于数据库中只存储了用户与角色的关联、角色与菜单项的关联信息,并没有存储用户或角色与具体业务逻辑url之间的关联信息,因此我想到了利用拦截器来实现鉴权功能,虽然略微有些麻烦,但至少应该比将业务逻辑url也录入进去再重新给用户分配权限来的容易。
各位看官
原创
2020-12-23 09:45:41 ·
1090 阅读 ·
8 评论