本文探讨了纵向越权和横向越权问题。针对纵向越权,建议通过设定不同用户角色和权限进行防御。对于横向越权,提出了一种利用缓存的解决方案,例如在用户重置密码时,通过缓存存储唯一的验证数据,确保只有拥有正确凭证的用户才能执行密码重置操作。
横向越权:横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源
纵向越权:纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源
对于纵向越权,我们可以通过设置用户角色,为不同的角色提供不同的权限来避免。
对于横向越权,就比较麻烦了,横向越权可能出现的场景有:在用户忘记密码重置密码时,回答对了问题进入密码重置阶段时,如果知道其他用户的用户名,很容易改变此用户的密码,然后就可以进行越权访问了。
这种情况下为了防止横向越权,我们可以使用缓存来进行辅助,当问题回答正确时,我们在缓存中存储一对由用户名和一个唯一的数字组成的数据,然后返回放入的唯一数据。在重置密码时我们的参数不仅需要用户名和密码还需要前面生成的唯一数字,根据用户名在缓存中取出对应的数字,如果取出的数字和参数中传入的想等,则证明重置的当前用户的密码,否则不是,且不予以重置。
重置密码回答问题
public ServerResponse<String> checkAnswer(String username, String question, String answer){
int resultCount = userMapper.checkAnswer(username, question, answer);
if(resultCount>0){
//说明问题及问题答案是用户的,并且是正确的
String forgetToken = UUID.randomUUID().toString();
//放入缓存
最低0.47元/天 解锁文章
扫一扫
1131
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
