springboot针对返回的response拦截处理越权问题

2024-05-31 16:20
文章标签 java 问题 springboot 拦截 spring 越权 处理 返回 针对 response

本文主要是介绍springboot针对返回的response拦截处理越权问题,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

背景:针对越权测试,通过拦截工具Fiddler修改请求参数,越权查看平台里面所有公司的数据

1、自定义MyResponseBodyAdvice 实现ResponseBodyAdvice

使用过滤器和拦截我都试过,最终没有成功,可能技术比较菜,这种方式相当简单

逻辑:

1、获取请求路径path

2、获取当前登录人的公司id和userId,如果为空说明是登录、注册等相关接口,直接返回

3、redis中配置不需要拦截的接口(文件上传、导出等),获取配置,与当前接口路径相比较,如果包含说明不需要拦截

4、判断返回的json串中是否包含当前登录人的公司或者userId,如果包含,说明是有访问权限的,如果不包含,说明是恶意攻击,直接返回没有权限

package com.xiaoniu56.security.interceptor;import cn.hutool.core.util.ObjectUtil;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONArray;
import com.alibaba.fastjson.JSONObject;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.xiaoniu56.common.cache.redis.StringRedis;
import com.xiaoniu56.security.ApplicationNiuContext;
import com.xiaoniu56.service.common.CacheService;
import com.xiaoniu56.webservice.param.Constant;
import lombok.SneakyThrows;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.core.MethodParameter;
import org.springframework.http.MediaType;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.http.server.ServerHttpRequest;
import org.springframework.http.server.ServerHttpResponse;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.servlet.mvc.method.annotation.ResponseBodyAdvice;import javax.annotation.Resource;@ControllerAdvice
public class MyResponseBodyAdvice implements ResponseBodyAdvice<Object> {@Autowiredprivate CacheService cacheService;@Resourceprivate StringRedis<String, String> stringRedis;@Autowiredprivate ObjectMapper objectMapper;@Overridepublic boolean supports(MethodParameter methodParameter, Class<? extends HttpMessageConverter<?>> aClass) {return true;}@SneakyThrows@Overridepublic Object beforeBodyWrite(Object body, MethodParameter methodParameter, MediaType mediaType, Class<? extends HttpMessageConverter<?>> aClass, ServerHttpRequest serverHttpRequest, ServerHttpResponse serverHttpResponse) {
//        Object header= null;
//        if (body != null) {
//            JSONObject jsonObject = JSON.parseObject(body.toString());
//            header = jsonObject.get("header");
//        }
//        if(1 == 1){
//            Map map = new HashMap();
//            Body bodyOne = new Body();
//            bodyOne.setCode(RESULT_CODE.FAIL.getValue());
//            bodyOne.setContent("抱歉,您没有访问权限");
//            map.put("header", header);
//            map.put("body", bodyOne);
//            return map;
//        }//获取前端请求的路径String path = serverHttpRequest.getURI().getPath();if(ObjectUtil.isEmpty(body)){return body;}//获取当前登录人的公司idString currentUserCompanyId = ApplicationNiuContext.getCurrentUserCompanyId();String userId = ApplicationNiuContext.getCurrentUserId();if(ObjectUtil.isEmpty(currentUserCompanyId) || ObjectUtil.isEmpty(userId)  ){return body;}String dictJson = stringRedis.getV(Constant.DIC_CACHE);String code = "";JSONArray jsonArray = JSON.parseArray(dictJson);for (Object obj : jsonArray) {JSONObject jsonObject = (JSONObject) obj;//这里根据type去获取code,code的长度为1024Object type = jsonObject.get("type");if(!Constant.filter_url_code.equals(type)){continue;}code = jsonObject.get("code").toString();}if (code.contains(path)) {return body;}String retrunJson = body.toString();if(!retrunJson.contains(currentUserCompanyId) && !retrunJson.contains(userId)){System.out.println("path--->"+ path);throw new Exception("无访问权限,请检查重试");}return body;}
}

这篇关于springboot针对返回的response拦截处理越权问题的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1018431

相关文章

MybatisGenerator文件生成不出对应文件的问题

MybatisGenerator文件生成不出对应文件的问题

《MybatisGenerator文件生成不出对应文件的问题》本文介绍了使用MybatisGenerator生成文件时遇到的问题及解决方法,主要步骤包括检查目标表是否存在、是否能连接到数据库、配置生成... 目录MyBATisGenerator 文件生成不出对应文件先在项目结构里引入“targetProje
阅读更多...
C#使用HttpClient进行Post请求出现超时问题的解决及优化

C#使用HttpClient进行Post请求出现超时问题的解决及优化

《C#使用HttpClient进行Post请求出现超时问题的解决及优化》最近我的控制台程序发现有时候总是出现请求超时等问题,通常好几分钟最多只有3-4个请求,在使用apipost发现并发10个5分钟也... 目录优化结论单例HttpClient连接池耗尽和并发并发异步最终优化后优化结论我直接上优化结论吧,
阅读更多...
SpringBoot使用Apache Tika检测敏感信息

SpringBoot使用Apache Tika检测敏感信息

《SpringBoot使用ApacheTika检测敏感信息》ApacheTika是一个功能强大的内容分析工具,它能够从多种文件格式中提取文本、元数据以及其他结构化信息,下面我们来看看如何使用Ap... 目录Tika 主要特性1. 多格式支持2. 自动文件类型检测3. 文本和元数据提取4. 支持 OCR(光学
阅读更多...
Java内存泄漏问题的排查、优化与最佳实践

Java内存泄漏问题的排查、优化与最佳实践

《Java内存泄漏问题的排查、优化与最佳实践》在Java开发中,内存泄漏是一个常见且令人头疼的问题,内存泄漏指的是程序在运行过程中,已经不再使用的对象没有被及时释放,从而导致内存占用不断增加,最终... 目录引言1. 什么是内存泄漏?常见的内存泄漏情况2. 如何排查 Java 中的内存泄漏?2.1 使用 J
阅读更多...
JAVA系统中Spring Boot应用程序的配置文件application.yml使用详解

JAVA系统中Spring Boot应用程序的配置文件application.yml使用详解

《JAVA系统中SpringBoot应用程序的配置文件application.yml使用详解》:本文主要介绍JAVA系统中SpringBoot应用程序的配置文件application.yml的... 目录文件路径文件内容解释1. Server 配置2. Spring 配置3. Logging 配置4. Ma
阅读更多...
Java 字符数组转字符串的常用方法

Java 字符数组转字符串的常用方法

《Java字符数组转字符串的常用方法》文章总结了在Java中将字符数组转换为字符串的几种常用方法,包括使用String构造函数、String.valueOf()方法、StringBuilder以及A... 目录1. 使用String构造函数1.1 基本转换方法1.2 注意事项2. 使用String.valu
阅读更多...
java脚本使用不同版本jdk的说明介绍

java脚本使用不同版本jdk的说明介绍

《java脚本使用不同版本jdk的说明介绍》本文介绍了在Java中执行JavaScript脚本的几种方式,包括使用ScriptEngine、Nashorn和GraalVM,ScriptEngine适用... 目录Java脚本使用不同版本jdk的说明1.使用ScriptEngine执行javascript2.
阅读更多...
Spring MVC如何设置响应

Spring MVC如何设置响应

《SpringMVC如何设置响应》本文介绍了如何在Spring框架中设置响应,并通过不同的注解返回静态页面、HTML片段和JSON数据,此外,还讲解了如何设置响应的状态码和Header... 目录1. 返回静态页面1.1 Spring 默认扫描路径1.2 @RestController2. 返回 html2
阅读更多...
numpy求解线性代数相关问题

numpy求解线性代数相关问题

《numpy求解线性代数相关问题》本文主要介绍了numpy求解线性代数相关问题,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧... 在numpy中有numpy.array类型和numpy.mat类型,前者是数组类型,后者是矩阵类型。数组
阅读更多...
Spring常见错误之Web嵌套对象校验失效解决办法

Spring常见错误之Web嵌套对象校验失效解决办法

《Spring常见错误之Web嵌套对象校验失效解决办法》:本文主要介绍Spring常见错误之Web嵌套对象校验失效解决的相关资料,通过在Phone对象上添加@Valid注解,问题得以解决,需要的朋... 目录问题复现案例解析问题修正总结  问题复现当开发一个学籍管理系统时,我们会提供了一个 API 接口去
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2