访问安全控制解决方案

最新推荐文章于 2021-06-10 17:52:49 发布
最新推荐文章于 2021-06-10 17:52:49 发布
阅读量358 收藏
点赞数
文章标签: 测试 javascript python ViewUI
原文链接:https://my.oschina.net/huangyong/blog/173679
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

本文是《轻量级 Java Web 框架架构设计》的系列博文。

今天想和大家简单的分享一下,在 Smart 中是如何做到访问安全控制的。也就是说,当没有登录或 Session 过期时所做的操作,会自动退回到首页(例如:登录页面),以防止用户进行非法操作。

这件事情或许是每个具备安全性考虑的系统都需要的功能,我们可以分两种情况来处理用户的请求:

  1. 普通请求
  2. AJAX 请求

下面是具体的实现过程,您别忘了系好安全带,我们这就出发了!

第一步:在 Smart Framework 中定义一个认证异常类 AuthException 

public class AuthException extends RuntimeException {

    public AuthException() {
        super();
    }

    public AuthException(String message) {
        super(message);
    }

    public AuthException(String message, Throwable cause) {
        super(message, cause);
    }

    public AuthException(Throwable cause) {
        super(cause);
    }
}

没啥内容,就一个普通的 RuntimeException 而已,其实就是想自定义一种异常类型,以区别于其他的异常,方便在框架中进行处理。

第二步:在 Smart Sample 中定义一个 AuthAspect,用于拦截 Action 的所有请求 

@Bean
@Aspect(pkg = "com.smart.sample.action")
@Order(0)
public class AuthAspect extends BaseAspect {

    @Override
    public boolean filter(Class<?> cls, Method method, Object[] params) {
        String className = cls.getSimpleName();
        String methodName = method.getName();
        return !(
            className.equals("UserAction") &&
                (methodName.equals("login") || methodName.equals("logout")
            )
        );
    }

    @Override
    public void before(Class<?> cls, Method method, Object[] params) throws Exception {
        User user = DataContext.Session.get("user");
        if (user == null) {
            throw new AuthException();
        }
    }
}

以上代码中需注意一下几点:

  1. 拦截到 action 包,即拦截所有的 Action 类。
  2. 使用 Order 注解定义 AOP 拦截顺序,为 0 表示最先拦截。【新特性】
  3. 在 filter 方法中排除掉几个特殊的 Action 方法,例如:login 与 logout,因为它们是无需进行安全控制的。
  4. 在 before 方法中从 Session 中获取 User 数据(已在 login 时放入到 Session),若为空,说明 Session 已过期,则主动抛出 AuthException。

这样 AOP 框架(也就是 BaseAspect 类及其相关 Proxy Chain 等)就可以处理这个自定义异常了。

还记得 Order 注解吗?它曾经在单元测试中出现过,现在还可以用于定义 AOP 顺序。

友情提示:

第三步:在 BaseAspect 中将异常继续往上抛,抛给它的调用者 

public abstract class BaseAspect implements Proxy {

    @Override
    public final void doProxy(ProxyChain proxyChain) throws Exception {
        ...

        begin();
        try {
            if (filter(cls, method, params)) {
                before(cls, method, params);
                Object result = proxyChain.doProxyChain();
                after(cls, method, params, result);
            } else {
                proxyChain.doProxyChain();
            }
        } catch (Exception e) {
            error(cls, method, params, e);
            throw e; // 将异常继续往上抛,抛给它的调用者
        } finally {
            end();
        }
    }

    ...
}

那么 Aspect 的调用者是谁呢?也就是说,谁用 Aspect 呢?至少 Action 是一个关键性用户。

那么 Action 又是谁来调用呢?当然就是 DispatchServlet 了。

于是,顺腾摸瓜,找到了调用的起源。

第四步:修改 DispatchServlet,处理 AuthException 

@WebServlet("/*")
public class DispatcherServlet extends HttpServlet {
    ...

    private void handleActionMethod(HttpServletRequest request, HttpServletResponse response, ActionBean actionBean, List<Object> paramList) {
        // 从 ActionBean 中获取 Action 相关属性
        Class<?> actionClass = actionBean.getActionClass();
        Method actionMethod = actionBean.getActionMethod();
        // 从 BeanHelper 中创建 Action 实例
        Object actionInstance = BeanHelper.getInstance().getBean(actionClass);
        // 调用 Action 方法
        Object actionMethodResult;
        try {
            actionMethod.setAccessible(true); // 取消类型安全检测(可提高反射性能)
            actionMethodResult = actionMethod.invoke(actionInstance, paramList.toArray());
        } catch (Exception e) {
            // 处理 Action 方法异常【★】
            handleActionMethodException(request, response, e);
            // 直接返回
            return;
        }
        // 处理 Action 方法返回值
        handleActionMethodReturn(request, response, actionMethodResult);
    }

    private void handleActionMethodException(HttpServletRequest request, HttpServletResponse response, Exception e) {
        if (e.getCause() instanceof AuthException) {
            // 若为认证异常,则分两种情况进行处理
            if (WebUtil.isAJAX(request)) {
                // 若为 AJAX 请求,则发送 403 错误
                WebUtil.sendError(403, response);
            } else {
                // 否则重定向到首页
                WebUtil.redirectRequest(request.getContextPath() + "/", response);
            }
        } else {
            // 若为其他异常,则记录错误日志
            logger.error("调用 Action 方法出错!", e);
        }
    }

    ...
}

大家可以看到以上代码的【★】处,也就是调用 Action 方法时的异常处理代码,请见下面的 handleActionMethodException 方法。逻辑如下:

  1. 首先判断该异常是否为 AuthException,如果是,则需要分两种情况来考虑。
  2. 若为 AJAX 请求,则向 Response 中发送 403 错误代码。后面的事情就交给前端的 AJAX 回调函数来做吧,请见下文。
  3. 否则(即为普通请求),重定向到首页,即重定向发送“/”请求。
  4. 若不是 AuthException,则输出错误日志。

以上代码中涉及到了几个关键的 WebUtil 方法,其实这些都是对 Servlet API 的一个简单的封装。代码片段如下: 

public class WebUtil {

    ...

    // 重定向请求
    public static void redirectRequest(String path, HttpServletResponse response) {
        try {
            response.sendRedirect(path);
        } catch (Exception e) {
            logger.error("重定向请求出错!", e);
            throw new RuntimeException(e);
        }
    }

    // 发送错误代码
    public static void sendError(int code, HttpServletResponse response) {
        try {
            response.sendError(code);
        } catch (Exception e) {
            logger.error("发送错误代码出错!", e);
            throw new RuntimeException(e);
        }
    }

    // 判断是否为 AJAX 请求
    public static boolean isAJAX(HttpServletRequest request) {
        return request.getHeader("X-Requested-With") != null;
    }
}

以上可以看到,普通请求非常简单,直接 redirect 就行了。而对于 AJAX 请求回调问题,我们可使用 jQuery 来轻松实现。

第五步:使用 jQuery 来处理 AJAX 非法访问 

/* 全局变量 */
var BASE = '/smart-sample'; // 应用 Context 名称(若为空字符串表示应用以 ROOT 来发布)

...

$(function() {
    $.ajaxSetup({
        cache: false,
        error: function(jqXHR, textStatus, errorThrown) {
            switch (jqXHR.status) {
                case 403:
                    document.write('');
                    location.href = BASE + '/';
                    break;
                case 503:
                    alert(errorThrown);
                    break;
            }
        }
    });

    ...
}

首先,定义一个全局变量 BASE,代表应用的 Context 名称,用户可自行修改。

然后,进行 AJAX 全局设置(使用了 jQuery 的 $.ajaxSetup 方法),在 error 回调函数中处理 403 错误,故意清空页面内容,并返回到应用首页(效果与普通请求非法访问时相同)。

以上就是 Smart Framework 关于安全性控制的解决方案,能否使用更简单更高效的方式来实现?等候您的评论。

转载于:https://my.oschina.net/huangyong/blog/173679

weixin_34334744
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全攻防四:访问控制,如何选取一个合适的数据保护方案
运维大湿兄的博客
04-09 849
文末会有一份重点内容梳理图送给大家,是针对这几篇文章的内容! 本文主要介绍几种常见授权机制的概念和原理,以及在实际工作中我们该如何去选取合适的保护机制。这些通用的机制看起来可能比较抽象,但“磨刀不误砍柴工”,理解了宏观上的知识基础,对我们以后学习各类具体的防御机制会有很大的帮助。 其次我个人认为,“授权”和“访问控制”其实是同一个概念,都是允许或者禁止某个用户做某件事情。现在行业内普遍用“访问控制...
数据安全中的访问安全包含哪些内容,如何实现数据访问安全
最新发布
无极低码
04-18 9141
此外,企业还应结合法律法规和行业标准,建立完善的管理制度和流程,确保数据访问安全措施得到有效落实。同时,采用自动化工具和智能分析技术,实时监测并防范潜在的安全威胁。数据安全中的访问安全是指为了保护数据不被未经授权的个人或程序访问而采取的一系列技术和管理措施。无极低码 :https://wheart.cn。
如何实现高效安全的网络访问控制解决方案
03-06 494
 一个有效的NAC(网络访问控制方案,应该可以提供一个可信任网络架构,这个架构对威胁具有免疫性,以及恰当使用的可控制性并能够为所有用户保护数据和完整性。NAC的一个关键特性是访问安全性,可以通过限制哪些用户拥有对系统的访问以及他们如何通过有线或无线的方法连接,来前摄性地防止安全性受到破坏。网络访问控制帮助你保证只有授权的用户可以获得对网络的访问权。而且,它保证用户只能访问被授权使用的资源。既然
数据访问安全
热门推荐
bigcarp的专栏
02-22 6万+
http://www.microsoft.com/china/msdn/library/architecture/architecture/architecturetopic/BuildSucApp/BSAAsecmod12.mspxSQL 脚本注入式攻击的剖析当您在应用程序中接受未筛选的用户输入值(见上文)时,恶意用户可以使用转义符来添加他们自己的命令。试考虑这样一个 SQL 查询,该查
基于身份的安全访问解决方案~Boundary
m0_48368237的博客
01-30 439
Boundary 提供了一种访问主机和关键系统的安全方案,无需管理凭证或公开网络,由 HashiCorp 开源。 Boundary 旨在使用最小特权原则 (POLP, principle of least privilege) 授予对关键系统的访问权限,以解决组织或企业在用户需要安全访问应用程序和机器时遇到的挑战。 使用 Boundary,访问基于用户的可信身份而不是他们的网络位置而进行。用户连接到 Boundary 并进行身份验证,然后根据被分配的角色,他们可以连接到可用的主机、服务或云资源。 Boun
RFID系统的安全读取访问控制解决方案
08-04
RFID(Radio Frequency Identification)系统是一种无线通信技术,用于自动识别和追踪物体。...随着技术的发展,研究人员将继续寻找更高效、更安全解决方案,以应对RFID系统面临的各种安全挑战。
iGate易门访问控制安全解决方案
07-09
iGate易门访问控制安全解决方案采用领先的SSL加速卡和基于iKey的访问控制技术,构成了这一基于设备的嵌入式Instant Private Web (瞬时专用网络)解决方案。适用对象为所有使用基于web 的客户关系管理(CRM)、供应链...
工业控制网络安全解决方案.pdf
09-30
因此,工业控制网络安全解决方案显得至关重要。 解决方案通常包括以下几个关键方面: 1. 风险评估与管理:首先,对ICS系统进行全面的风险评估,识别潜在的安全漏洞和威胁。这包括分析网络架构、硬件、软件的弱点,...
化工企业工控安全解决方案V1.0 .docx
06-30
化工企业工控安全解决方案需要考虑到多个方面的安全需求,包括系统的可靠性、数据的机密性、访问控制安全审计等。只有通过综合的安全解决方案,才能确保化工企业的生产安全和稳定。 在这个解决方案中,我们还需要...
企业局域网安全访问控制解决方案介绍1.doc.pdf
06-05
企业局域网安全访问控制解决方案介绍1.doc.pdf企业局域网安全访问控制解决方案介绍1.doc.pdf企业局域网安全访问控制解决方案介绍1.doc.pdf企业局域网安全访问控制解决方案介绍1.doc.pdf企业局域网安全访问控制解决...
信息安全--访问控制
小尘_OnMyWay的博客
06-10 1394
1. 概述 身份认证:识别“用户是谁”的问题 访问控制:管理用户对资源的访问 访问控制的基本组成元素: 主体(Subject):是指提出访问请求的实体、动作的发起者,但不一定是动作的执行者。 客体(Object):是指可以接受主体访问的被动实体。凡是可以被操作的信息、资源、对象都可以被认为是客体。 访问控制策略(Access Control Policy):主体对客体的操作行为和约束条件的关联集合,是主体对客体的访问规则集合。(决定主体是否可以对客体实施特定的操作) 2. 访问控制模型 1. 自主访问
C#笔记32:FRAMEWORK安全性之代码访问安全和角色安全
weixin_34161029的博客
10-29 137
C#笔记32:FRAMEWORK安全性之代码访问安全和角色安全 本章概要: 1:FRAMEWORK安全性中的几个概念    1.1:安全权限    1.2:类型安全安全性    1.3:安全策略    1.4:身份验证 2:代码访问安全之声明式安全性 3:代码访问安全之强制安全性 4:代码访问安全之请求权限    4.1:请求访问非托管代码的权限    4.2:通过使用 Req...
微服务访问安全设计方案实践
Enweitech Software Works
01-03 394
我们首先从传统单体应用架构下的访问安全设计说起,然后分析现代微服务架构下,访问安全涉及的原则,接着讨论目前常用的几种微服务架构下的访问安全设计方案。最后,详析Spring Cloud微服务架构下如何解决访问安全的问题。 1.传统单体应用的访问安全设计 上面的示意图展示了单体应用的访问逻辑。用户通过客户端发出http或者https请求,经过负载均衡后,单体应用收到请求。接着经过auth层,进...
4.请求安全-- 结合使用的安全优势总结
weixin_34381687的博客
09-09 59
2019独角兽企业重金招聘Python工程师标准>>> ...
杂项-安全访问安全
weixin_30485799的博客
02-14 4037
ylbtech-杂项-安全访问安全 访问控制是给出一套方法,将系统中的所有功能标识出来,组织起来,托管起来,将所有的数据组织起来标识出来托管起来, 然后提供一个简单的唯一的接口,这个接口的一端是应用系统一端是权限引擎。权限引擎所回答的只是:谁是否对某资源具有实施 某个动作(运动、计算)的权限。返回的结果只有:有、没有、权限引擎异常了。 访问控制是几乎所有系统(包括计算...
一种简单方便的权限控制方案
weixin_34077371的博客
09-29 62
所有的页面都继承于一个基页面,这个基类中的load事件用于判断权限:     Protected pageAccess As String    Private Sub Page_Load()Sub Page_Load(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles MyBase.Load        ...
HTTPS详解SSL/TLS
bravegogo的专栏
02-03 1243
LOOPBACK|服务端 HTTPS详解SSL/TLS  研究HTTPS 曾几何时,只记得HTTPS的端口和HTTP的不同,一个是443,一个是80。以前做项目也是只晓得用第三方的jar包,只晓得怎么生成证书和使用方法与流程,对原理并不是很清楚。这里接着上一篇RSA算法,本篇就详细介绍HTTPS协议和相关的SSL/TLS加密协议。    什么是HTTP
数据安全治理解决方案.pdf
05-25
数据安全治理解决方案是一个针对企业在信息化时代面临的重要问题而设计的全面框架,它旨在确保组织在满足日益严格的合规要求的同时,保护数据的安全和隐私,提升企业的数据效能和业务连续性。以下是该方案的主要组成...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值