在Java拦截器中处理用户横向越权的问题

已于 2024-07-21 12:32:14 修改
阅读量4.2k 收藏 3
点赞数 1
分类专栏: Java 文章标签: java spring spring boot
于 2021-01-13 20:09:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shy_1762538422/article/details/112586203
版权

1、问题场景:

       最近公司在研发一套新的项目,其中涉及到了用户查询端和管理员端(也就是后台),查询员有查询员的接口,管理员有管理员的接口,但是也有一些公共的接口,比如说文件上传,文件查看的接口。校验用户是否登录的条件是通过springSession完成的。
       出现的问题就是在使用swagger接口进行测试的时候,发现查询员登录成功之后,也可以访问管理员的接口,这就出现了横向越权的问题。

2、解决思路:

  1. 刚开始的想法是各自添加标识,管理端的接口自定义一个注解,查询端的接口自定义一个注解,未添加注解的就是公共接口,但是这样的工作量太大了,也不符合Java开发的思想和开发规范。所以被pass掉了。
  2. 后来想到了由于查询端的接口和公共的接口较少,分别给他们俩添加注解,没添加注解的就是管理端的接口,这种方法其实和第一种不相上下,也被果断的pass掉了
  3. 再后来又想到了Spring Security框架,但现实的问题是,目前做的只是第一版,权限和角色并没有进行彻底的分离,所以若要使用Spring
    Security框架的话,反而会把简单的问题复杂化,这种方式是目前不可取的,但是相比于上面的两种方法,在思想上已经进步了很多了(哈哈哈)
  4. 最后想到了一种方法,也是最后采用的一种方法。
            第一步:将查询端使用的接口全部放到一个Controller下面(因为查询端的接口较少),公共接口因为只有两个,所以就将它们进行了复制,管理端一份,查询端一份,其实他们service层是一模一样的。
            第二步:在用户登录上之后,根据用户类型的不同在他们的cookie中分别种上不同的标识(我添加的是userType)
            第三步:在这个查询端的Controller上面添加一个注解,在拦截器进行拦截,只要拦截到是添加这个注解的就是查询端的接口,没添加这个注解的就是管理端的接口,拦截到之后对cookie中的类型进行判断,判断类型是否合适,合适就通过,不合适就抛异常。

核心代码如下:

//获取类上的注解
CustomAuth customAuthAnnotation = method.getMethod().getDeclaringClass().getAnnotation(CustomAuth.class);
   if (!sessionService.validUserType(customAuthAnnotation,request.getSession())){
        throw new ErrorCodeException(ErrorCode.USER_AUTH_NOT_EXIST);
   }

(全部的拦截器的代码在之前的博客中)

这是目前想到的最合适也是最便捷的方法,网友们有比较合适的思路欢迎评论留言!

shy好好学习
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
36-2 shiro越权 - shiro越权介绍
weixin_43263566的博客
04-15 153
Apache Shiro 是一个强大且易用的 Java 安全框架,负责执行身份验证、授权、密码和会话管理。无论是最小的移动应用程序还是最大的网络和企业应用程序,都可以通过使用 Shiro 的 API 快速、轻松地实现安全功能。
java Struts2 在拦截器里的跳转问题
09-05
Struts2的Dispatcher在处理请求时,会先执行所有的拦截器链,然后执行相应的Action。在Action执行完毕后,Dispatcher会根据Action的结果来决定如何处理后续的流程,这可能包括重定向、转发等页面跳转操作。如果在...
越权问题解决优化方案
℃江
12-29 3万+
这是本人平时积累,拿去用: 问题背景:越权漏洞是Web 应用常见的安全漏洞。其主要来源于开发者在对数据进行增删改查的时候,过分相信用户传递的数据,从而遗漏了用户权限的判定导致的,这种问题应该止于测试人员。当单独调用某接口时并没有完成相应权限的校验,造成越权操作现象。问题应用相关实例场景:一:用户A可以在B网站增加、删除、修改、查看用户C的相关信息。二:后端的不同接口内部之间为了解耦没有进行权限验证三
java项目横向越权,【Web安全】越权操作——横向越权与纵向越权
weixin_39717026的博客
03-16 636
横向越权横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源纵向越权:纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源横向越权的情况:用户登录模块,假设用户在忘记密码(未登录)时,想要重置密码。假设接口设计为传参只用传用户名和新的密码。localhost:8080/user/forget_reset_password.do?username=aaa&passwordNew=x...
【Web安全】越权操作——横向越权与纵向越权
最新发布
Eric_web的博客
06-04 259
建议使用基于角色访问控制机制来防止纵向越权攻击,即预先定义不同的权限角色,为每个角色分配不同的权限,每个用户都属于特定的角色,即拥有固定的权限,当用户执行某个动作或产生某种行为时,通过用户所在的角色判定该动作或者行为是否允许。可通过建立用户和可操作资源的绑定关系,用户对任何资源进行操作时,通过该绑定关系确保该资源是属于该用户所有的。:纵向越权指的是一个低级别(低权限)攻击者尝试访问高级别(高权限)用户的资源。: 横向越权指的是攻击者尝试访问与他拥有相同(级别或角色)权限的用户的资源。
SpringWeb项目越权漏洞以及解决方案
luostudent的博客
04-12 7998
越权漏洞是什么,如何解决?
springboot自定义注解+mybatis拦截器实现数据权限
guaotianxia的博客
12-01 4226
基本所有的系统都会涉及菜单访问权限和数据访问权限。对于菜单访问权限一般实现方式都差不多,用户登录时加载具有访问权限的菜单,然后进行展示,用户访问菜单时通过统一的拦截器服务器端再次判断是有具有访问权限,防止前端直接url越权访问;对于细粒度具体到按钮级别的访问控制,实现方式也差不多,一个具体到菜单访问url,一个具体到方法访问url,对于菜单访问权限设计实现此文不做过多介绍。对于数据权限,一般需要根据系统实际的业务场景进行设计实现,那些脱离业务谈数据权限都是扯淡的。参与的一个项目,需要实现如下数据权限,可以设
Springboot 实现拦截器获取header内容
weixin_40910372的博客
03-11 1万+
背景 事情是这样的,最近项目做了个渗透测试,被查到了横向越权问题,是因为前端传到后端的请求,经过APIportal的时候验证过了token,后端就没有去验证了,现在要加上这一步。 分析 既然是所有前端的请求都要做校验,那么如果一个接口一个接口的做当然是不可取的,而springmvc的拦截器可以在里面统一的进行处理,很适合我们的需求。 实现 那么我们就先来实现一下吧。 首先实现一个拦截...
springboot 拦截器不生效
weixin_40910372的博客
03-12 5660
为了解决横向越权问题,写了一个demo,高高兴兴的发了篇博客:Springboot 使用拦截器获取header内容,然而还没高兴2秒呢,将demo写到项目,发现不好使了,拦截器不生效了!要不要这么坑? 这下我就不高兴了,就去网上看看大神们是怎么解决这个问题的,大致有这么几种情况: 没加@Component或者@Configuration注解 @ComponentScan没扫描到 路径配...
垂直越权漏洞的修复
u011651342的博客
05-23 1万+
前段时间我参与的项目被公司的安全部门检测出垂直越权的安全漏洞,我组长让我负责修复一下。 首先我查阅了一下什么是越权,以及什么是垂直越权。 (一)越权以及垂直越权 越权访问漏洞指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能,在实际的代码审计,这种漏洞往往很难通过工具进行自动化监测,因此在实际应用危害很大。其与未授权访问有一定差别,目前存在着两种越权操作类型,横向越权操作(水平越权)和纵向越权操作(垂直越权) 水平越
阿里Java面经大全(整合版)
热门推荐
Java技术江湖
08-03 4万+
      阿里巴巴,三面,java实习 昨天晚上11点打电话来,问我可以面试不,我说不可以,然后就约到了今天, 1.上来问我项目用的框架,然后问我springmvc里面有的参数的设定,问的是细节,然后问我如果传的多个值是一个对象的属性,问我如何处理,我说直接在后端接收为对象就行了,然后突然问我http怎么传对象,这里有点不明白面试官想问啥,然后就换别的问题了, ...
浅析java Spring MVC 拦截器作用及其实现
08-30
JavaSpring MVC框架拦截器(Interceptor)是一个强大的工具,它允许开发者在请求处理的前后阶段执行自定义逻辑,比如进行权限检查、日志记录、性能统计等。这篇文章将深入探讨Spring MVC拦截器的作用、实现...
详解javaspring里的三大拦截器
08-26
拦截器Spring应用的作用广泛,它们可以用于实现以下功能: 1. **权限控制**:检查用户是否具有访问特定资源的权限。 2. **性能监控**:记录请求处理时间,用于性能分析和优化。 3. **日志记录**:跟踪用户行为...
java自定义拦截器用法实例
09-03
Java自定义拦截器Java开发一种常见的设计模式,它主要用于在执行某个操作或方法之前进行额外的处理,如权限检查、日志记录等。在Java Web应用,特别是使用Struts2框架时,拦截器扮演着至关重要的角色。下面...
Java8stream流的collectingAndThen方法应用实例
shyの个人笔记
02-03 2万+
1.方法定义: 此方法是在进行归纳动作结束之后,对归纳的结果进行二次处理。 2.演示: User类准备 /** * @desc: 用户实体类 * @author: ss.xin * @date: 2020/12/28 12:38 */ @Data @AllArgsConstructor public class User { //用户Id int userId; //用户姓名 String userName; //用户工资 BigDecimal
gradle添加依赖的三种方式
shyの个人笔记
01-06 7561
第一种(只全部写全)Maven官方建议: compile group: 'com.zaxxer', name: 'HikariCP', version: '3.2.0' 第二种(简写): compile ('com.zaxxer:HikariCP:3.2.0') 或者 compile 'com.zaxxer:HikariCP:3.2.0' 第三种(添加多种依赖): compile ( "com.zaxxer:HikariCP:3.2.0", "mysql:mysql-c
Java操作redis设置第二天凌晨过期
shyの个人笔记
03-12 7385
redis的key设置每天凌晨过期的思路
Java拦截器获取类上的注解和方法上的注解
shyの个人笔记
01-13 4542
话不多说,先看拦截器 public class LoginInterceptor extends HandlerInterceptorAdapter { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { boolean continueHandling = true; if (handler
如何在Java拦截器判断小程序发送的请求
06-09
Java拦截器(Interceptor)可以用于对请求做统一的处理,如身份验证、请求日志记录等。如果需要在Java拦截器判断小程序发送的请求,可以通过获取请求头的信息进行判断。以下是一个简单的Java拦截器示例: ```java import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; public class MiniProgramInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 获取请求头的信息 String userAgent = request.getHeader("User-Agent"); String contentType = request.getContentType(); // 判断是否为小程序发送的请求 if (userAgent != null && userAgent.contains("MicroMessenger") && contentType != null && contentType.contains("application/json")) { // TODO: 根据业务需求进行相应的处理 return true; } else { // 返回错误信息 response.setContentType("application/json;charset=UTF-8"); response.getWriter().write("{ \"status\": 400, \"message\": \"Bad Request\" }"); return false; } } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { // TODO: 在处理完请求后进行相应的操作 } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { // TODO: 在请求完成后进行相应的操作 } } ``` 以上代码的MiniProgramInterceptor类实现了HandlerInterceptor接口,其的preHandle方法会在请求处理前被调用。在该方法,我们可以获取请求头的信息,通过判断判断是否为小程序发送的请求,如果是则进行相应的处理,否则返回错误信息。需要注意的是,以上代码仅为示例,实际应用还需要进行异常处理、安全验证等相应的操作。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shy好好学习

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值