springboot针对返回的response拦截处理越权问题

2024-05-31 16:20
文章标签 java 问题 springboot 拦截 spring 越权 处理 返回 针对 response

本文主要是介绍springboot针对返回的response拦截处理越权问题,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

背景:针对越权测试,通过拦截工具Fiddler修改请求参数,越权查看平台里面所有公司的数据

1、自定义MyResponseBodyAdvice 实现ResponseBodyAdvice

使用过滤器和拦截我都试过,最终没有成功,可能技术比较菜,这种方式相当简单

逻辑:

1、获取请求路径path

2、获取当前登录人的公司id和userId,如果为空说明是登录、注册等相关接口,直接返回

3、redis中配置不需要拦截的接口(文件上传、导出等),获取配置,与当前接口路径相比较,如果包含说明不需要拦截

4、判断返回的json串中是否包含当前登录人的公司或者userId,如果包含,说明是有访问权限的,如果不包含,说明是恶意攻击,直接返回没有权限

package com.xiaoniu56.security.interceptor;import cn.hutool.core.util.ObjectUtil;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONArray;
import com.alibaba.fastjson.JSONObject;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.xiaoniu56.common.cache.redis.StringRedis;
import com.xiaoniu56.security.ApplicationNiuContext;
import com.xiaoniu56.service.common.CacheService;
import com.xiaoniu56.webservice.param.Constant;
import lombok.SneakyThrows;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.core.MethodParameter;
import org.springframework.http.MediaType;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.http.server.ServerHttpRequest;
import org.springframework.http.server.ServerHttpResponse;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.servlet.mvc.method.annotation.ResponseBodyAdvice;import javax.annotation.Resource;@ControllerAdvice
public class MyResponseBodyAdvice implements ResponseBodyAdvice<Object> {@Autowiredprivate CacheService cacheService;@Resourceprivate StringRedis<String, String> stringRedis;@Autowiredprivate ObjectMapper objectMapper;@Overridepublic boolean supports(MethodParameter methodParameter, Class<? extends HttpMessageConverter<?>> aClass) {return true;}@SneakyThrows@Overridepublic Object beforeBodyWrite(Object body, MethodParameter methodParameter, MediaType mediaType, Class<? extends HttpMessageConverter<?>> aClass, ServerHttpRequest serverHttpRequest, ServerHttpResponse serverHttpResponse) {
//        Object header= null;
//        if (body != null) {
//            JSONObject jsonObject = JSON.parseObject(body.toString());
//            header = jsonObject.get("header");
//        }
//        if(1 == 1){
//            Map map = new HashMap();
//            Body bodyOne = new Body();
//            bodyOne.setCode(RESULT_CODE.FAIL.getValue());
//            bodyOne.setContent("抱歉,您没有访问权限");
//            map.put("header", header);
//            map.put("body", bodyOne);
//            return map;
//        }//获取前端请求的路径String path = serverHttpRequest.getURI().getPath();if(ObjectUtil.isEmpty(body)){return body;}//获取当前登录人的公司idString currentUserCompanyId = ApplicationNiuContext.getCurrentUserCompanyId();String userId = ApplicationNiuContext.getCurrentUserId();if(ObjectUtil.isEmpty(currentUserCompanyId) || ObjectUtil.isEmpty(userId)  ){return body;}String dictJson = stringRedis.getV(Constant.DIC_CACHE);String code = "";JSONArray jsonArray = JSON.parseArray(dictJson);for (Object obj : jsonArray) {JSONObject jsonObject = (JSONObject) obj;//这里根据type去获取code,code的长度为1024Object type = jsonObject.get("type");if(!Constant.filter_url_code.equals(type)){continue;}code = jsonObject.get("code").toString();}if (code.contains(path)) {return body;}String retrunJson = body.toString();if(!retrunJson.contains(currentUserCompanyId) && !retrunJson.contains(userId)){System.out.println("path--->"+ path);throw new Exception("无访问权限,请检查重试");}return body;}
}

这篇关于springboot针对返回的response拦截处理越权问题的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1018431

相关文章

Java实现检查多个时间段是否有重合

Java实现检查多个时间段是否有重合

《Java实现检查多个时间段是否有重合》这篇文章主要为大家详细介绍了如何使用Java实现检查多个时间段是否有重合,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录流程概述步骤详解China编程步骤1:定义时间段类步骤2:添加时间段步骤3:检查时间段是否有重合步骤4:输出结果示例代码结语作
阅读更多...
Java中String字符串使用避坑指南

Java中String字符串使用避坑指南

《Java中String字符串使用避坑指南》Java中的String字符串是我们日常编程中用得最多的类之一,看似简单的String使用,却隐藏着不少“坑”,如果不注意,可能会导致性能问题、意外的错误容... 目录8个避坑点如下:1. 字符串的不可变性:每次修改都创建新对象2. 使用 == 比较字符串,陷阱满
阅读更多...
Java判断多个时间段是否重合的方法小结

Java判断多个时间段是否重合的方法小结

《Java判断多个时间段是否重合的方法小结》这篇文章主要为大家详细介绍了Java中判断多个时间段是否重合的方法,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录判断多个时间段是否有间隔判断时间段集合是否与某时间段重合判断多个时间段是否有间隔实体类内容public class D
阅读更多...
IDEA编译报错“java: 常量字符串过长”的原因及解决方法

IDEA编译报错“java: 常量字符串过长”的原因及解决方法

《IDEA编译报错“java:常量字符串过长”的原因及解决方法》今天在开发过程中,由于尝试将一个文件的Base64字符串设置为常量,结果导致IDEA编译的时候出现了如下报错java:常量字符串过长,... 目录一、问题描述二、问题原因2.1 理论角度2.2 源码角度三、解决方案解决方案①:StringBui
阅读更多...
Java覆盖第三方jar包中的某一个类的实现方法

Java覆盖第三方jar包中的某一个类的实现方法

《Java覆盖第三方jar包中的某一个类的实现方法》在我们日常的开发中,经常需要使用第三方的jar包,有时候我们会发现第三方的jar包中的某一个类有问题,或者我们需要定制化修改其中的逻辑,那么应该如何... 目录一、需求描述二、示例描述三、操作步骤四、验证结果五、实现原理一、需求描述需求描述如下:需要在
阅读更多...
Java中ArrayList和LinkedList有什么区别举例详解

Java中ArrayList和LinkedList有什么区别举例详解

《Java中ArrayList和LinkedList有什么区别举例详解》:本文主要介绍Java中ArrayList和LinkedList区别的相关资料,包括数据结构特性、核心操作性能、内存与GC影... 目录一、底层数据结构二、核心操作性能对比三、内存与 GC 影响四、扩容机制五、线程安全与并发方案六、工程
阅读更多...
JavaScript中的reduce方法执行过程、使用场景及进阶用法

JavaScript中的reduce方法执行过程、使用场景及进阶用法

《JavaScript中的reduce方法执行过程、使用场景及进阶用法》:本文主要介绍JavaScript中的reduce方法执行过程、使用场景及进阶用法的相关资料,reduce是JavaScri... 目录1. 什么是reduce2. reduce语法2.1 语法2.2 参数说明3. reduce执行过程
阅读更多...
如何使用Java实现请求deepseek

如何使用Java实现请求deepseek

《如何使用Java实现请求deepseek》这篇文章主要为大家详细介绍了如何使用Java实现请求deepseek功能,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录1.deepseek的api创建2.Java实现请求deepseek2.1 pom文件2.2 json转化文件2.2
阅读更多...
Java调用DeepSeek API的最佳实践及详细代码示例

Java调用DeepSeek API的最佳实践及详细代码示例

《Java调用DeepSeekAPI的最佳实践及详细代码示例》:本文主要介绍如何使用Java调用DeepSeekAPI,包括获取API密钥、添加HTTP客户端依赖、创建HTTP请求、处理响应、... 目录1. 获取API密钥2. 添加HTTP客户端依赖3. 创建HTTP请求4. 处理响应5. 错误处理6.
阅读更多...
Spring AI集成DeepSeek的详细步骤

Spring AI集成DeepSeek的详细步骤

《SpringAI集成DeepSeek的详细步骤》DeepSeek作为一款卓越的国产AI模型,越来越多的公司考虑在自己的应用中集成,对于Java应用来说,我们可以借助SpringAI集成DeepSe... 目录DeepSeek 介绍Spring AI 是什么?1、环境准备2、构建项目2.1、pom依赖2.2
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2