API安全机制之审计日志

最新推荐文章于 2024-02-08 00:40:14 发布
VIP文章 最新推荐文章于 2024-02-08 00:40:14 发布
阅读量1.4k 收藏
点赞数
分类专栏: 微服务安全实战 文章标签: spring boot java spring 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013449046/article/details/104517240
版权

审计日志

审计日志处理的位置是在认证时候授权之前,认证之后记请求谁发出来的,授权之前那些被拒绝的请求可以被记载下来,日志需持久化,在实际开发中将日志发到统一的日志服务

解决流控、认证执行顺序问题

使用注解@Order来解决

使用spring拦截器来记录审计日志,其他还有Filter、ControllerAdvice、AOP的关系

spring调用顺序依次是filter(不是spring定义的,web规范里面定义的)->interceptor->controller advice(全局异常处理)->AOP

实例代码

编写audit_log实体

@Data
@Entity
@EntityListeners(AuditingEntityListener.class)
public class AuditLog {
   

    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    private String method;
    private String path;
    private Integer status;
  	@CreatedBy
  	@LastModifiedBy
    private String username;
    @Temporal(TemporalType.TIMESTAMP)
    @CreatedDate
    private Date createTime;
    @Temporal(TemporalType.TIMESTAMP)
    @LastModifiedDate
    private Date updateTime;


}

注:时间使用@Temporal注解,并存储成时间戳

@CreatedDate、@LastModifiedDate,这两个注解用jpa去save的时候判断是创建时间还是更新时间并自动填充到库里面

开启jpa支持审计的功能,实体类auditlog增加一个监听器@EntityListeners实现的类是AuditingEntityListener,在增加一个@EnableJpaAuditing总开关,@CreatedBy这个注解是创建人是谁,@LastModifiedBy最后修改人是谁,单写这个注解不生效要想使之生效需要实现一个接口AuditorAware,是一个范型,返回一个String,当jps碰到@CreatedBy这个注解

最低0.47元/天 解锁文章
大军465
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于系统日志分析进行异常检测
lovelife110的博客
11-07 2万+
日志解析:https://github.com/logpai/logparser 异常检测:https://github.com/logpai/loglizer 预备知识:需要对逻辑回归、决策树、SVM、PCA、聚类等有一些了解 论文原文:https://github.com/AmateurEvents/article/blob/master/System-Log-Analysis-for-An...
禅道项目管理软件ZenTaoPMS源码包-PHP
06-20
禅道是第一款国产的开源项目管理软件。它集产品管理、项目管理、质量管理、文档管理、组织管理和事务管理于一体,是一款专业的研发项目管理软件,完整地覆盖了项目管理的核心流程。注重实效的管理思想,合理的软件架构,简洁高效的操作,优雅的代码实现,灵活的扩展机制,强大而易用的api调用机制,多语言支持,多风格支持,搜索功能,统计功能——这一切,您通过禅道,都可以拥有!禅道在手,项目无忧! 禅道的功能列表: 1、产品管理:包括产品、需求、计划、发布、路线图等功能。 2、项目管理:包括项目、任务、团队、build、燃尽图等功能。 3、质量管理:包括bug、测试用例、测试任务、测试结果等功能。 4、文档管理:包括产品文档库、项目文档库、自定义文档库等功能。 5、事务管理:包括todo管理,我的任务、我的Bug、我的需求、我的项目等个人事务管理功能。 6、组织管理:包括部门、用户、分组、权限等功能。 7、统计功能:丰富的统计表。 8、搜索功能:强大的搜索,帮助您找到相应的数据。 9、灵活的扩展机制,几乎可以对禅道的任何地方进行扩展。 10、强大的api机制,方便与其他系统集成。 更新日志: 禅道15.0stable版本 修复的Bug 产品视图项目列表页面列宽和排版 在产品下批量创建需求时打开了项目的页面,然后进入产品需求页面保存后二级导航错误 审计页面,处理一下换行和字段显示不完整问题 地盘日志中查看所有日志时,二级导航无选中态 地盘日志中查看所有日志时,日期控件icon不支持点击 内禅地盘项目列表,区块点击刷新后列表字段无法再进行排序 执行下打开需求详情,点击基本信息中的所属模块后二级导航左侧应用图标位置偏移 进入创建文档库动态后二级导航高亮不对 查看已删除的任务时没有标记已删除 Bug批量指派给用户显示不完整 全局搜索结果页面上移 用户需求关闭后没有置灰细分按钮 页面刷新后会显示为“Bad Request”es 点击项目库跳转到了创建项目页 Bug详情页新建Bug保存后返回页面二级导航菜单未高亮 用例详情页显示所属%s 点击项目文档库提示没有创建项目权限 用例列表页去掉底部滚动条 二级导航缺失菜单分隔线 左侧导航多显示了一条分隔线 项目和执行测试中三级导航切换产品分支有问题 文档from参数全部删掉,检查逻辑 二级导航第一个菜单去掉权限后分割线还有 用例详情切换产品链接不对
mlyly-auditlog:简单的审计日志
06-24
mlyly-审计日志 简单的审计日志记录。 正在进行的工作 - 在创意阶段。 模块 审计日志API 定义(审计日志的合同 审计日志生产者文件 实现(审计)记录器,为给定文件生成消息。 审计日志生产者-jms 实现(审计)记录器,将 JMS 消息发送到队列/主题。 审计日志-消费者-jms 消费者审核来自 JSM 队列/主题的消息并将消息存储到 mongodb 的 Web 应用程序。 审计日志-存储-mongodb MongoDB 消息存储。
缺乏API安全审计:不定期进行安全审计,可能忽略潜在的安全隐患
图幻未来的博客
02-08 374
总之,API 作为现代软件开发中不可或缺的一环正逐渐改变着我们的世界和生活方式。虽然 API 可以为开发人员带来便利和提高工作效率但同时也伴随着诸多的安全风险和挑战。通过制定完善的政策和标准,实施严格的审计机制和加强对外部供应商的监管等措施可以有效降低 API 相关安全事故的发生率,保护用户隐私和数据资产免受不必要的损失。
02 异常日志
javaTalk
04-20 610
异常日志 一 异常处理 二 日志规约 一 异常处理 1. 【强制】Java 类库中定义的可以通过预检查方式规避的 RuntimeException 异常不应该通过 catch 的方式来处理,比如:NullPointerException,IndexOutOfBoundsException 等等。 说明:无法通过预检查的异常除外,比如,在解析字符串形式的数字时,可能存在数字格式错误...
前端代码异常日志收集与监控
weixin_34075268的博客
02-21 707
为什么80%的码农都做不了架构师?>>> ...
audit-api:审计API
06-23
审核测试 示例审计 API 安装 mvn 包 mvn exec:java -Dexec.mainClass="uk.police.scotland.audit.App" curl -XPOST -d "{'hi':'ok'}"
一次异常主机日志分析
leeezp的博客
07-06 1924
一次异常主机日志分析
老杨说运维 | 如何快速进行日志异常检测和根因定位
智能运维及数据中台探索
10-11 1440
指标解析中心利用算法的自动调优能力,实现了指标异常检测算法的自动化,从而减轻人力成本、提升运维效率。
安全审计——等级保护日志审计要求的一种解决方案
lucycat的博客
02-13 9147
日志审计
移动互联网数据安全技术能力科普(二)
securitypaper的博客
07-08 889
接口提供方应对接口调用方进行审核,并制定和签署相关合作协议(包括但不限于接口调用频率,敏感数据保护),必要时应对调用方的安全保护能力进行技术评估。
基于koa+mysql 实现服务端API接口开发.zip
最新发布
04-22
MySQL提供了一系列安全措施,如用户账户管理、访问权限控制、SSL/TLS加密连接、审计日志等功能,确保数据的安全性和合规性。同时,MySQL附带了一系列管理工具,如MySQL Server、MySQL Workbench、MySQL Shell等,...
java_jsp项目源码_Smart系统-权限管理与日志记录模块的设计与开发(源代码+论文).rar
03-28
它通过先进的权限控制算法和详尽的日志记录机制,为企业和组织提供了安全、可靠的管理解决方案。 在权限管理方面,Smart系统实现了用户、角色、权限的精细划分。系统内置了丰富的角色类型,如管理员、编辑、普通...
禅道项目管理软件ZenTaoPMS源码包
08-14
10、强大的api机制,方便与其他系统集成。 更新日志: 禅道15.0stable版本 修复的Bug 产品视图项目列表页面列宽和排版 在产品下批量创建需求时打开了项目的页面,然后进入产品需求页面保存后二级导航错误 审计页面,...
解决OAuth Token,点击退出登录报404问题
大军的博客
03-04 4786
解决OAuth Token,点击退出登录报404问题
常见的安全机制
大军的博客
02-24 3158
常见的安全机制
搭建OAuth2认证服务器
大军的博客
02-29 3156
搭建OAuth2认证服务器
OAuth2 Token实现授权码模式
大军的博客
03-02 1272
OAuth2 Token实现授权码模式
如何保证api接口不被侵犯
07-22
7. 安全审计:定期对 API 接口进行安全审计和漏洞扫描,及时修复发现的安全漏洞。 8. 更新和维护:及时更新 API 接口的版本,修复已知的安全漏洞和问题,确保接口的安全性和稳定性。 以上是一些常见的保护 API ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值