API安全机制之审计日志

最新推荐文章于 2024-05-13 09:52:25 发布
最新推荐文章于 2024-05-13 09:52:25 发布
阅读量1.4k 收藏
点赞数
分类专栏: 微服务安全实战 文章标签: spring boot java spring 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013449046/article/details/104517240
版权

审计日志

审计日志处理的位置是在认证时候授权之前,认证之后记请求谁发出来的,授权之前那些被拒绝的请求可以被记载下来,日志需持久化,在实际开发中将日志发到统一的日志服务

解决流控、认证执行顺序问题

使用注解@Order来解决

使用spring拦截器来记录审计日志,其他还有Filter、ControllerAdvice、AOP的关系

spring调用顺序依次是filter(不是spring定义的,web规范里面定义的)->interceptor->controller advice(全局异常处理)->AOP

实例代码

编写audit_log实体

@Data
@Entity
@EntityListeners(AuditingEntityListener.class)
public class AuditLog {
   

    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    private String method;
    private String path;
    private Integer status;
  	@CreatedBy
  	@LastModifiedBy
    private String username;
    @Temporal(TemporalType.TIMESTAMP)
    @CreatedDate
    private Date createTime;
    @Temporal(TemporalType.TIMESTAMP)
    @LastModifiedDate
    private Date updateTime;


}

注:时间使用@Temporal注解,并存储成时间戳

@CreatedDate、@LastModifiedDate,这两个注解用jpa去save的时候判断是创建时间还是更新时间并自动填充到库里面

开启jpa支持审计的功能,实体类auditlog增加一个监听器@EntityListeners实现的类是AuditingEntityListener,在增加一个@EnableJpaAuditing总开关,@CreatedBy这个注解是创建人是谁,@LastModifiedBy最后修改人是谁,单写这个注解不生效要想使之生效需要实现一个接口AuditorAware,是一个范型,返回一个String,当jps碰到@CreatedBy这个注解

最低0.47元/天 解锁文章
大军465
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于系统日志分析进行异常检测
lovelife110的博客
11-07 2万+
日志解析:https://github.com/logpai/logparser 异常检测:https://github.com/logpai/loglizer 预备知识:需要对逻辑回归、决策树、SVM、PCA、聚类等有一些了解 论文原文:https://github.com/AmateurEvents/article/blob/master/System-Log-Analysis-for-An...
一次异常主机日志分析
leeezp的博客
07-06 1998
一次异常主机日志分析
老杨说运维 | 如何快速进行日志异常检测和根因定位
智能运维及数据中台探索
10-11 1547
指标解析中心利用算法的自动调优能力,实现了指标异常检测算法的自动化,从而减轻人力成本、提升运维效率。
探索API安全新高度:APIKit - 打造一体化API扫描与审计工具箱
最新发布
gitblog_00085的博客
05-13 751
探索API安全新高度:APIKit - 打造一体化API扫描与审计工具箱 项目地址:https://gitcode.com/API-Security/APIKit 当涉及到应用程序的安全性时,API往往成为黑客攻击的入口点。为了确保API安全,我们需要强大的工具来进行检测和审计。这就是APIKit的作用,它是由APISecurity社区推出的首款开项目,旨在提供一种全面的API发现、扫描和审计...
移动互联网数据安全技术能力科普(二)
securitypaper的博客
07-08 901
接口提供方应对接口调用方进行审核,并制定和签署相关合作协议(包括但不限于接口调用频率,敏感数据保护),必要时应对调用方的安全保护能力进行技术评估。
日志异常常见场景方式汇总
ZEUS00456的专栏
08-03 2035
文章目录§1 综述§1.1 记录日志的目的§1.2 记录日志的粒度§1.3 异常的分类§1.5 异常处理思路§2 日志异常常见场景处理方法汇总 §1 综述 日志异常是项目正常运行时,唯二的可以直接窥探代码运行状态的手段(暂时不考虑一些监控框架)。 因为二者略有互通且通常异常时必然伴有日志,因此一起说明。 此文档,前面用于说明项目中常见套路或概念,后面则给出各场景下示例 §1.1 记录日志的目的 指示,记录项目中各个机制的运行情况 接口,记录接口执行情况 流程报告,记录重要流程执行节点和关键步骤数据 异常
基于php+mysql日志审计管理系统
05-25
系统可能提供API接口,允许其他应用或服务与之交互,发送日志数据或获取审计报告。RESTful API设计原则将被遵循,以确保接口的简洁性和易用性。 8. **前端界面**: 使用HTML、CSS和JavaScript构建的用户界面,如...
ESAPI安全编码工具码包
12-30
ESAPI日志组件允许开发者记录安全相关的事件,以便于审计和追踪潜在的安全问题。它支持不同级别的日志记录,并且可以与各种日志框架(如log4j)集成,提供详细的审计信息。 ### 6. 其他功能 除了上述核心功能,...
API治理角度看API安全2022企业信息安全峰会(脱敏
11-19
API管理系统可以协助跟踪API的状态,执行访问控制策略,并提供日志审计功能,以便在出现问题时快速定位和解决。同时,持续监控API的使用情况,及时发现异常行为,也是保障安全的重要手段。 在企业信息安全峰会上...
C语言 日志api 支持多线程
06-11
8. **错误处理**:当写入日志失败时,API应提供适当的错误处理机制,如记录到内存中并在稍后尝试重试,或者通知调用者。 9. **可扩展性**:随着项目的发展,可能需要添加新的功能,如日志审计日志搜索等。一个好...
OWASP API安全项目
01-27
- **日志审计**:记录所有API调用,以便于检测异常行为和调查。 **结论** OWASP API安全项目为开发人员和安全团队提供了宝贵的资,帮助他们在设计、开发、测试和维护API时考虑安全因素。了解并遵循这些最佳...
Java异常控制机制异常处理原则
不想当大腿的腿毛不是好工程师
07-18 1011
本文描述了Java异常控制机制的流程、使用方法、Throwable的分类、Exception/Error的区别、异常处理的原则、注意事项等
自动监控模块日志异常情况
wmm162534的博客
12-17 424
机械的,做一个物联网项目,测试的时候需要一直盯着模块日志,看看是否有异常。 然后就想着写一个简单的自动监控日志,出现异常的关键字后就,把日志单独保存下来,并统计整个时间段内发生了几次。
日志&异常处理&errors学习笔记
KeepCodeing
09-23 1451
与你相识 博主介绍: – 本人是普通大学生一枚,每天钻研计算机技能,CSDN主要分享一些技术内容,因我常常去寻找资料,不经常能找到合适的,精品的,全面的内容,导致我花费了大量的时间,所以会将摸索的内容全面细致记录下来。另外,我更多关于管理,生活的思考会在简书中发布,如果你想了解我对生活有哪些反思,探索,以及对管理或为人处世经验的总结,我也欢迎你来找我。 – 目前的学习专注于Go语言,辅学算法,前端领域。也会分享一些校内课程的学习,例如数据结构,计算机组成原理等等,如果你喜欢我的风格,请关注我...
记录异常日志的7条规则
iteye_16521的博客
11-14 439
最近一直在帮忙调试一些让人头大的bug问题,这才意识到如何记录异常日志对于简化调试的重要性,我总结了几点记录异常日志的最佳实践发表在此。 1、记录技术性异常而不是用户异常 用户异常(如:“登录用户名已经存在”)除了显示给用户,要么什么都别管,要么根本就不是异常(“用户尚未认证”)。技术性异常(如:“文件存储不够,没法订阅此产品”)才是你需要调试而为此做出反应的,如果你记录所有事情很有...
Spring 日志切面方法中出现异常,防止日志记录的回滚
Warren Blog
07-31 2829
出现的问题 :业务方法中出现异常,不能保存日志错误信息到数据库中 问题思路:因为发生异常后,写入日志同样会事务回滚了,日志和业务方法是同一个事务 解决方案 将日志事务剥离出来当前方法事务,独立运行一个新的事务 日志保存可以异步操作 将日志事务剥离出来当前方法事务,独立运行一个新的事务 背景:事务传播行为:指的就是当一个事务方法被另一个事务方法调用时,这个事务应该如何进行。例如:methodA事...
Java审计框架基础
goddemon
08-19 1561
好像已经很久没发过文章了,水一篇吧,最近在回头恶补java web的一些东西还有研究链条和内存马的一些东西,有些东西还没整明白,怕误人子弟,所以暂时就不发了。 后面等学明白了在发吧,先发一篇java审计需要的一些基础知识点吧,也能算是开发吧(也是笔者基于javaweb学习过程中自己基于自己的理解的一些学习笔记,所以可能存在一些问题,若有问题,希望批评指教),也希望能给入坑审计java审计的人一些参考吧。 而至于实战审计的一些文章,最近一段时间应该是不会打算发的,倒不是说没相关的素材,最近也确实审计了不少的
审计日志功能实现优化及测试记录(参照若依系统,以dolphinscheduler 2.0.5 为例,实现相关功能)
11-27 1503
🐬使用 🐠若依-操作日志 🐠引入海豚调度 🐟引入审计日志包,增加`LogAnnotation`注解 🐬问题记录及优化 🐠service方法注解时而生效,时而不生效 🐟不生效原因 🐟修改 🐡自我注入(纯测试) 🐡接口中增加该方法 🐠优化,增加批次号 🐟ThreadLocal的使用 🐡测试结果 🐟地理位置的获取
API安全漏洞运营 ppt
01-01
同时,定期进行安全审计和漏洞扫描,以及对API安全事件的响应和应急处理能力的建立,也是保障API安全的重要环节。通过持续的监控、测试和更新,可以有效地管理和减少API安全风险,从而保护企业的关键资产和用户数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值