shiro安全框架扩展教程--基本行级数据安全控制

最新推荐文章于 2023-03-01 11:19:04 发布
最新推荐文章于 2023-03-01 11:19:04 发布
阅读量9k 收藏 4
点赞数 3
分类专栏: java web shiro spring security3 mybatis java 文章标签: shiro 开源 框架 Java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shadowsick/article/details/40017579
版权
java web 同时被 3 个专栏收录
48 篇文章 0 订阅
订阅专栏
java
46 篇文章 0 订阅
订阅专栏
spring security3
17 篇文章 1 订阅
订阅专栏

         大家都知道shiro方法级,请求级保障是不错的,但是对于对于具体的行级数据安全控制是比较无力的,但是我们总是需要用一些手段来保证数据级的安全,举个比较简单的说明,

有合法登录A和B用户,A用户通过方法findById=A可以加载出自己的信息并修改密码,这个时候用户B可以通过findById=A也可以加载出A的信息,这样简单的入侵方式比较简单,

只要使用编辑器改动下表单的提交值即可,如果严谨是没事的,但是总有那么一些人不会那么严谨,所以经常都是通过id直出直入查询到数据,导致用户资料泄漏被修改,

那么问题来了,我们该如何防止这样的低级攻击呢?


下面我提供一个比较简单的方案,希望抛砖引玉,如果有更好的方案请分享出来,互相学习


一般来说,我们更新,删除或者查询单个记录都是需要一个唯一键,例如id?别人可以编辑这个id的值获取其他记录的信息,这个时候我们可以加一个认证值给请求路径,防止只修改了id

即可认为是合法请求


下面上些代码


<a href="#" οnclick="removeById('/cms/user/removeById.do?id=${v.id}&rsv_=<@key id="${v.id}" />');return false;" style="cursor: pointer;">删除</a>

看到后面删除的参数有一个rsv_,这个是认证值,如果单独修改id的值,但是没有修改出相应的rsv_值那是认为是非法请求,因为id和rsv_是配套,通过一定算法出来的关联


而这里我的<@key id="${v.id}" /> 这个是我自定义的freemarker标签,相信看过前面的文章也知道该如何配置使用,下面我展示下生成的rsv_标签类


package com.silvery.core.freemarker;

import java.io.IOException;
import java.util.Map;

import com.silvery.utils.ShortLinkUtils;

import freemarker.core.Environment;
import freemarker.template.TemplateDirectiveBody;
import freemarker.template.TemplateDirectiveModel;
import freemarker.template.TemplateException;
import freemarker.template.TemplateModel;

/**
 * 
 * FreeMarker自定义标签,生成编号认证
 * 
 * @author shadow
 * 
 */
public class KeyTag implements TemplateDirectiveModel {

	@SuppressWarnings("unchecked")
	public void execute(Environment env, Map params, TemplateModel[] loopVars, TemplateDirectiveBody directiveBody)
			throws TemplateException, IOException {

		Object id = params.get("id");
		validate(id, null);

		env.getOut().write(ShortLinkUtils.getSingleLink(id.toString()));

	}

	private void validate(Object id, Object body) throws TemplateException {
		if (id == null || id.toString().trim().equals("")) {
			throw new TemplateException("参数[id]不能为空", null);
		}
	}

}

然后看我们的请求拦截器,如何判断是否合法请求


package com.silvery.core.spring.handler;

import java.text.SimpleDateFormat;
import java.util.Date;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import com.silvery.utils.ShortLinkUtils;

public class SystemHandler implements HandlerInterceptor {

	private final static Logger log = LoggerFactory.getLogger(SystemHandler.class);

	@Override
	public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object obj, Exception e)
			throws Exception {
	}

	@Override
	public void postHandle(HttpServletRequest request, HttpServletResponse response, Object obj, ModelAndView view)
			throws Exception {
	}

	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object obj) throws Exception {
		return validateSafeRequest(request, response, obj);
	}

	/** 防止擅改数据提交 */
	private boolean validateSafeRequest(HttpServletRequest request, HttpServletResponse response, Object obj) {
		String newObj = request.getParameter("id");
		if (!isNull(newObj)) {
			String newToken = request.getParameter("rsv_");
			if (!isNull(newToken)) {
				if (ShortLinkUtils.getSingleLink(newObj).equals(newToken)) {
					return true;
				}
			}
			log.error(new StringBuffer().append(new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(new Date())).append(
					" [").append(obj).append("] ").append(" appear insecure request ").toString());
			return false;
		}
		return true;
	}

	private boolean isNull(String s) {
		if (s == null || s.length() <= 0) {
			return true;
		}
		return false;
	}

}

这是spring-mvc的拦截器,当然你也可以用普通的filter,原理是一样的


大概流程就是这样,相信大家都能理解,比较简单,比较实用,请随意喷,最多我去蓝翔再深造下回来咯...

小丑哥_V5
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
Apache Shiro安全框架-其他
06-12
Apache Shiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web...
数据权限的设计与思考
学海无涯,行者无疆
10-06 2343
权限控制是一个系统的核心功能,可以分为两类,一类是功能权限,一类是数据权限。数据权限又可以进一步分为行级权限和列级权限。功能权限,是指系统用户能进行哪些操作,通常是菜单和按钮权限,如打开订单菜单,查询订单列表,创建新订单。对于功能权限,有标准化的解决方案,也即RBAC,通过权限项、角色、用户三张主表,以及角色-权限项对应关系表和角色-用户对应关系表两张辅助表,一共5张库表即可实现功能权限的功能,系统管理员通过系统界面即可实现灵活的权限分配和维护。
通过DataEase行列权限设置实现数据权限管控
FIT2CLOUD飞致云的博客
11-15 1409
使用行列权限实现数据脱敏,DataEase充分保障您的数据安全
FlinkSQL 的行级权限解决方案及源码
阿里云云栖号
03-01 1390
FlinkSQL的行级权限解决方案及源码,支持面向用户级别的行级数据访问控制,即特定用户只能访问授权过的行,隐藏未授权的行数据。此方案是实时领域Flink的解决方案,类似离线数仓Hive中Ranger Row-level Filter方案。
基于mybatis拦截器的行级数据权限管理方案
u014763000的博客
04-20 837
​ 最近在做一个资源管理项目,其中有一个需求,需要对数据进行地域纬度管理。不同登录用户查询对应部分数据,但涉及业务表数据较多,单个sql重写,极其浪费效率,故考虑把关联权限的sql抽取出来,进行sql拦截重写实现权限自动关联。 第一步:数据准备,每个业务数据新增行政区域纬度字段:area_gov_code [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JBi6ms0J-1650437006348)(c3acd10ebb594ed71819b775c0d6d900.png)]
使用行级别权限实现列权限控制
PowerBI木小桼
05-15 1084
15足不出户,足不出沪PowerBI是支持RLS和OLS的,即行级别权限控制和列级别控制,但是OLS是有很多限制的,特别是在和OLS混合使用时,具体的限制可以参考官方的文档:https://docs.microsoft.com/zh-cn/analysis-services/tabular-models/object-level-security?view=asallproducts-allversions&viewFallbackFrom=power-bi-premium-current所以在Po
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
shiro_attack-4.7.0-SNAPSHOT-all.zip 序列化验证工具
shiro安全框架-详细介绍
最新发布
04-21
shiro安全框架-详细介绍
精品专题(2021-2022年收藏)shiro安全框架扩展教程如何动态控制页面节点元素的权限.doc
10-02
精品专题课件(2021-2022年收藏)
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
Shiro权限管理示例(包括数据库结构)
02-07
一个完整的Shiro项目,实现了Shiro的权限管理,附件里包括数据库结构(mysql),可直接运行
shiro动态URL权限控制
01-16
1 / 10 shiro动态URL权限控制 用过Spring Security的朋友应该比较熟悉对URL进行全局的权限控制,即访问URL时进行权限匹配;如果没有权限直接跳到相应的错误页面。Shiro也支持类似的机制,不过需要稍微改造下来满足实际需求。不过在Shiro中,更多的是通过AOP进行分散的权限控制,即方法级别的;而通过URL进行权限控制是一种集中的权限控制。本章将介绍如何在Shiro中完成动态URL权限控制。
自定义标签 + shiro 实现权限细粒度控制
热门推荐
打不死的小强
06-03 3万+
这里我们是使用shiro来实现登录验证,授权等操作,然后利用自定义jsp标签来实现权限菜单的细力度控制。所谓的细粒度控制,就是根据用户登录权限的不同,显示不同的菜单,例如,用户如果有添加用户,修改用户的权限,我们就显示这个俩个菜单,然后我们并不显示删除用户的菜单。如何自定义jsp标签1.定义一个权限标签,命名为mytag.tld<?xml version="1.0" encoding="UTF-8"
数据级的权限管理和功能级的权限管理的区别,不使用框架(shiro,springsecurity)做权限设计的思考
ice-wee的专栏
06-18 2万+
1 数据级的权限管理和功能级的权限管理  引自:http://www.iteye.com/problems/97374 功能级权限,有大有小。大的可以直接包括一个业务模块,小的可以是一个按钮。一般的功能级权限一般包括:菜单、url、按钮 。 数据级权限主要是针对访问数据的可见范围。一般包括以下几类:当前操作人可见、部门可见、部门及子部门可见……等。数据级权限目前常用的做法就是在业务模块的表中...
Shiro介绍(八):数据权限的研究@RequiresData
SHARE & TOP
01-30 1万+
继续,上次我说权限可以分为两大类:操作权限与数据权限。Shiro帮我们实现的大多为操作权限,那么今天我想分享一个数据权限的方案。
Spring 整合 Apache Shiro 实现各等级的权限管理
goodyuedandan的博客
08-10 9937
Spring 整合 Apache Shiro 实现各等级的权限管理  2015-10-25  JAVA, SECURITY, SHIRO, SPRING Background 前几个月在做一个常规的权限隔离功能的时候,恰好使用过Apache Shiro. Apache Shiro 是一款Java安全框架,通常用作Web应用的权限校验,身份验证. A
shiro-redis-spring-boot-starter
10-06
shiro-redis-spring-boot-starter是一个用于集成Apache Shiro和Redis的Spring Boot Starter项目。Apache Shiro是一个强大而灵活的Java安全框架,用于身份验证、授权和会话管理等安全功能。而Redis是一个高性能的内存...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值