用户越权访问的处理
一般来说,越权放问就好比你是非系统管理员用户,却偷偷的跑进了系统管理菜单,僭越权利访问里面的信息甚至修改其中的数据(不同级别的越权又称垂直越权访问),因此对数据的安全性造成极大的威胁,是故每家企业都有其方法来保证企业内部数据的安全性,也就是解决越权访问的问题。
有关改业务处理主要考虑下面两个方面:
url的越权访问和接口方法的越权访问
- 通过角色用户来判断是否越权访问
分下面几种情况来讨论:
a.当没有用户登录的时候:
只允许登录界面和一些js,css等非jsp/html的页面访问,这样算是越权
b.当用户登录了之后:
首先通过角色关系去数据库中查找他能够访问的页面,这样的话就可以针对能访问的做一个放行处理,非权限内的页面属于越权,这个时候拦截掉,可以直接让其跳转到登陆界面表示他越权了已经(自行处理越权后的操作)。
2.具体实现流程
统计好每个菜单url对应的接口方法和子页面访问路径(jsp或html等)
b.将统计好的数据一一对应起来,存放在配置文件中或者数据库某个表中,这些数据随着业务的新增或者裁剪应有相关对应的维护,暂时以配置文件为例
c.在登录模块中通过登录的用户角色查找它能够访问的菜单URL(写一个接口方法),存放在一个静态公有list变量中,如下定义:
public static List<String> MENU_URLS = new ArrayList<>();将查询返回过来的url集合塞给MENU_URLS。
d,定义一个静态公有Properties变量,用来存放配置文件中的键值对,如下定义:
public static Properties MENU_INTERFACE = null;然后对其进行读取配置文件并赋值
String url = request.getSession().getServletContext().getRealPath("/WEB-INF/classes/porturl.properties");
File file = new File(url);
try {
MENU_INTERFACE = new Properties();
FileInputStream inStream = new FileInputStream(file);
MENU_INTERFACE.load(inStream);
} catch (Exception e) {
System.out.println(e);
}e.SpringMVC拦截器,判断session中用户是否过期,在doFilter 方法里匹配,只要js,css,pdf,png,jpg等文件可放行,在里面判断用户是否登录,没有登录的话只要是非登录页面的页面,统一视为越权访问。如果是已经登录的用户,我们可以取到登录后的MENU_URLS 和 MENU_INTERFACE 的信息,可以做如下判断:
如果访问的路径checkURL和MENU_URLS 中的任意子串能匹配的上的话说明是可以访问的,这种情况放行,否则拦截下来跳转登录,记录越权访问信息;
在上面的情况下,还会存在一种情况,当访问的路径是子页面的时候,这个时候需要去匹配,能匹配上的可以放行,这个需要通过checkURL去配置文件中找到对应的父URL,然后再进行匹配MENU_URLS,这个里面的父URL是唯一的,配置文件中一(父)对多(子)。
接口访问的也是同样的道理。
其中放行方法:
//正常访问,直接放行
filterChain.doFilter(servletRequest, servletResponse);
return;
//初始化printWriterURL
String printWriterURL="<script>window.location.href='"+httpRequest.getContextPath()+ "/jsps/login/login.jsp';</script>";
//其他jsp的时候算是越权访问
logger.info("用户越权访问!!!!" + url);
PrintWriter p = httpResponse.getWriter();
p.write(printWriterURL);
p.flush();
p.close();
return;这样就大功告成,具体代码细节如下所示:
public class SystemFilter implements Filter {
private static Logger logger = Logger.getLogger(SystemFilter.class);
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
throws IOException, ServletException {
HttpServletRequest httpRequest = (HttpServletRequest) servletRequest;
HttpServletResponse httpResponse = (HttpServletResponse) servletResponse;
HttpSession session = httpRequest.getSession(true);
String url = httpRequest.getRequestURI();
String printWriterURL = "<script>window.location.href='" + httpRequest.getContextPath() + "/jsps/login/login.jsp';</script>";
String checkURL = url;
if(checkURL.endsWith("/")){
checkURL = checkURL.substring(0, checkURL.length()-1);
if(checkURL.split("/").length == 2){
PrintWriter p = httpResponse.getWriter();
p.write(printWriterURL);
p.flush();
p.close();
return;
}
}
Object object = session.getAttribute("user");
User user = object == null ? null : (User) object;
boolean isAjaxRequest = false;
if (!StringUtils.isBlank(httpRequest.getHeader("x-requested-with"))
&& httpRequest.getHeader("x-requested-with").equals("XMLHttpRequest")) {
isAjaxRequest = true;
}
StringBuffer server = httpRequest.getRequestURL();
if (server.toString().contains(".css") || server.toString().contains(".jsp")
|| (server.toString().contains(".js") && !server.toString().contains(".jsp"))
|| server.toString().contains(".png") || server.toString().contains(".jpg") || server.toString().contains(".gif") || server.toString().contains(".svg")
|| server.toString().contains(".so") || server.toString().contains(".woff")
|| server.toString().contains(".ttf")
|| server.toString().endsWith("/downPDF") // 下载放行
|| server.toString().contains("/websocket") // 推送放行
){
if(user ==null && server.toString().contains(".jsp")){
if(server.toString().contains("index.jsp")){
logger.info("!!!用户未登录且使用index.jsp页面:" + url);
PrintWriter p = httpResponse.getWriter();
p.write(printWriterURL);
p.flush();
p.close();
return;
}else if(server.toString().contains("login.jsp")){
//当访问的是login.jsp的时候放行
filterChain.doFilter(servletRequest, servletResponse);
return;
}else{
//其他jsp的时候算是越权访问
logger.info("用户越权访问!!!!" + url);
PrintWriter p = httpResponse.getWriter();
p.write(printWriterURL);
p.flush();
p.close();
return;
}
}else if(user !=null && server.toString().contains(".jsp") && !(server.toString().contains("login.jsp"))){
Boolean ISURL = false;
//获取访问url的字符串
int urllen = checkURL.split("/").length;
String checkurl = "";
for(int i=2;i<urllen;i++){
if(i<urllen-1){
checkurl+=checkURL.split("/")[i]+"/";
}else{
checkurl+=checkURL.split("/")[i];
}
}
c:for(int j=0;j<LoginService.MENU_URLS.size();j++){
//获取角色用户对应二级菜单的URL
String _orUrls = LoginService.MENU_URLS.get(j);
if(_orUrls.equals(checkurl)){
System.out.println("符合条件的:"+checkurl);
ISURL = true;
break c;
}
}
//当上一个判断时不能访问考虑第二种情况
if(!ISURL){
//通过二级菜单读取配置文件中对应的子url,防止空指针异常
String purls = LoginService.MENU_INTERFACE.get(checkurl)==null?"":LoginService.MENU_INTERFACE.get(checkurl).toString();
d:for(int j=0;j<LoginService.MENU_URLS.size();j++){
String _orUrls = LoginService.MENU_URLS.get(j);
//获取角色用户对应二级菜单的URL和通过访问路径去查配置文件时候存在吻合则放行
if(_orUrls.equals(purls)){
System.out.println("符合条件的:"+purls);
ISURL = true;
break d;
}
}
}
if(!ISURL){
//越权访问
String msg = "ip=" + user.getIpaddr() + "&name=" + user.getUsername();
logger.info("!!!越权访问:" + url + ";用户信息:" + msg);
printWriterURL = "<script>window.location.href='" + httpRequest.getContextPath() + "/jsps/login/login.jsp?" + msg + "';</script>";
}else{
System.out.println("========>"+LoginService.MENU_INTERFACE.get(checkURL.split("/")[2]+"/"+checkURL.split("/")[3]));
//正常访问,直接放行
filterChain.doFilter(servletRequest, servletResponse);
return;
}
PrintWriter p = httpResponse.getWriter();
p.write(printWriterURL);
p.flush();
p.close();
return;
}
// 如果发现是css或者js文件,直接放行
filterChain.doFilter(servletRequest, servletResponse);
return;
}
if (!isAjaxRequest) {
if (user != null && (server.toString().contains("index.jsp") || server.toString().contains("login.jsp"))) {
// 如果发现是css或者js文件,直接放行
filterChain.doFilter(servletRequest, servletResponse);
return;
} else {
if(user != null){
System.out.println("-----------1-----------"+checkURL);
if(LoginService.MENU_INTERFACE != null && LoginService.MENU_INTERFACE.size() != 0
&& LoginService.MENU_URLS != null && LoginService.MENU_URLS.size() != 0 ){
if(checkURL.split("/").length == 4){
System.out.println("-----------2-----------"+LoginService.MENU_INTERFACE.get(checkURL.split("/")[2]+"/"+checkURL.split("/")[3]));
// if(LoginService.MENU_INTERFACE.get(checkURL.split("/")[2]+"/"+checkURL.split("/")[3]) == null){
// // 如果发现是css或者js文件,直接放行
// filterChain.doFilter(servletRequest, servletResponse);
// return;
// }
Boolean hasIn = false;
if(null != LoginService.MENU_INTERFACE.get(checkURL.split("/")[2]+"/"+checkURL.split("/")[3])){
String[] urls = LoginService.MENU_INTERFACE.get(checkURL.split("/")[2]+"/"+checkURL.split("/")[3]).toString().split(",");
// jsp/pages/configmgt/device/deviceList.jsp,jsp/pages/configmgt/systemmgt/systemmgtList.jsp
a:for(int i=0;i<urls.length;i++){
String _url = urls[i];
for(int j=0;j<LoginService.MENU_URLS.size();j++){
String _orUrls = LoginService.MENU_URLS.get(j);
if(_orUrls.equals(_url)){
System.out.println("符合条件的:"+_url);
hasIn = true;
break a;
}
}
}
}
if(!hasIn){
//越权访问
String msg = "ip=" + user.getIpaddr() + "&name=" + user.getUsername();
logger.info("!!!越权访问:" + url + ";用户信息:" + msg);
printWriterURL = "<script>window.location.href='" + httpRequest.getContextPath() + "/jsps/login/login.jsp?" + msg + "';</script>";
}else{
System.out.println("========>"+LoginService.MENU_INTERFACE.get(checkURL.split("/")[2]+"/"+checkURL.split("/")[3]));
//正常访问,直接放行
filterChain.doFilter(servletRequest, servletResponse);
return;
}
}
}
}
PrintWriter p = httpResponse.getWriter();
p.write(printWriterURL);
p.flush();
p.close();
return;
}
}
if (url.toString().contains(".jsp")) {
logger.info(httpRequest.getSession().getServletContext().getRealPath("/") + "-------");
logger.info("拦截器放行地址:-------------------" + url);
}
filterChain.doFilter(servletRequest, servletResponse);
return;
}
/**
* 判断是否为Ajax请求
*
* @param request
* HttpServletRequest
* @return 是true, 否false
*/
public static boolean isAjaxRequest(HttpServletRequest request) {
return request.getRequestURI().startsWith("/api");
// String requestType = request.getHeader("X-Requested-With");
// return requestType != null && requestType.equals("XMLHttpRequest");
}
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void destroy() {
// To change body of implemented methods use File | Settings | File
// Templates.
}
}
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
