2. 程式人生 > 實用技巧 >API安全(九)-授權

API安全(九)-授權

阿新 發佈:2020-07-14

1、授權

  授權在整個安全機制中,是比較重要的一環,一般要考慮兩個事情,一個是訪問的請求需不需要身份認證,如果不需要直接放過,如果需要,但是沒有認證,應該返回401,需要使用者進行認證。另一個就是,認證了,看有沒有該資源的訪問許可權,如果有,放行;如果沒有返回403,無許可權。

2、常見的訪問控制

  2.1、ACL :Access Control Lists,簡單易用,容易實現。常見讀寫等少量許可權控制。

  2.2、RBAC:Role Based Access Control。引入角色,方便管理許可權。開發交ACL複雜。

3、使用ACL實現授權控制

  這裡我們實現一個簡單的ACL許可權控制,要求,所有的請求都必須經過認證,可以為使用者授予讀寫許可權,讀許可權可以訪問GET請求,其他請求需要有寫許可權。

  3.1、在使用者實體中新增許可權欄位

/**
 */
@Data
@Entity
@Table(name = "user")
public class UserDO {

    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;

    @Column(nullable = false)
    private String name;

    @Column(nullable = false,unique = true)
    private String username;

    @Column(nullable = false)
    private String password;

    /**
     *  使用者具有的許可權資訊,多個用逗號隔開;read讀許可權,write寫許可權
     */
    private String permissions;


    public UserDTO buildUserDTO(){
        UserDTO userDTO = new UserDTO();
        BeanUtils.copyProperties(this,userDTO);
        return userDTO;
    }

}

  3.2、使用Filter進行授權控制(這要求審計也是基於Filter實現的,保證各安全模組的執行順序)

/**
 * ACL過濾器
 */
@Slf4j
@Order(4)
@Component
public class AclFilter extends OncePerRequestFilter {


    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        log.info("++++++4、授權++++++");

        /*
         * 要求請求都必須經過認證才能訪問
         */
        UserDO user = (UserDO) request.getAttribute("user");
        if (user == null) {
            //說明沒有進行認證,返回401和WWW-Authenticate,讓瀏覽器彈出輸入框
            response.setStatus(HttpStatus.UNAUTHORIZED.value());
            response.setHeader("WWW-Authenticate", "Basic realm=<authentication required>");
            return;
        }

        /*
         * 要求有對應的許可權才可以進行訪問
         */
        if (!hasPermission(user.getPermissions(), request.getMethod())) {
            response.setStatus(HttpStatus.FORBIDDEN.value());
            response.getWriter().write("Forbidden");
            response.getWriter().flush();
            return;
        }


        filterChain.doFilter(request, response);

    }

    private boolean hasPermission(String permissions, String method) {

        if (StringUtils.equalsIgnoreCase(method, HttpMethod.GET.name())) {
            //要有讀許可權
            return StringUtils.containsIgnoreCase(permissions, "read");
        } else {
            //要有寫許可權
            return StringUtils.containsIgnoreCase(permissions, "write");
        }

    }

}

  3.3、啟動專案,在資料庫中為使用者賦予相應許可權如下

  3.4、使用建立使用者進行測試http://127.0.0.1:9090/users

    3.4.1、使用未認證的進行訪問,彈出認證框

  控制檯過濾器執行順序如下

  資料庫日誌如下

   3.4.2、使用帶有讀許可權的tom進行認證,建立使用者失敗,返回403無許可權

  3.4.3、使用帶有讀寫許可權的jack進行認證,建立使用者成功

  3.3、如果審計模組使用的是攔截器實現,授權也要使用攔截器,效果一樣

/**
 * ACL攔截器
 *
 */
@Slf4j
//@Component
public class AclInterceptor extends HandlerInterceptorAdapter {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {

        log.info("++++++4、授權++++++");

        UserDO user = (UserDO) request.getAttribute("user");
        if (user == null) {
            response.setStatus(HttpStatus.UNAUTHORIZED.value());
            response.setHeader("WWW-Authenticate", "Basic realm=<authentication required>");
            return false;
        }

        if (!hasPermission(user.getPermissions(), request.getMethod())) {
            response.setStatus(HttpStatus.FORBIDDEN.value());
            response.getWriter().write("Forbidden");
            response.getWriter().flush();
            return false;
        }

        return true;
    }

    private boolean hasPermission(String permissions, String method) {

        if (StringUtils.equalsIgnoreCase(method, HttpMethod.GET.name())) {
            return StringUtils.containsIgnoreCase(permissions, "read");
        } else {
            return StringUtils.containsIgnoreCase(permissions, "write");
        }
    }

}
/**
 * web配置類
 *
 */
@Configuration
public class WebConfig implements WebMvcConfigurer {


    @Resource
    private AuditLogInterceptor auditLogInterceptor;

    @Resource
    private AclInterceptor aclInterceptor;

    /**
     * 註冊攔截器,攔截器的執行順序取決於add順序
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(auditLogInterceptor);
        registry.addInterceptor(aclInterceptor);
    }

}

相關推薦

API安全()-授權

1、授權   授權在整個安全機制中,是比較重要的一環,一般要考慮兩個事情,一個是訪問的請求需不需要身份認證,如果不需要直接放過,如果需要,但是沒有認證,應該返回401,需要使用者進行認證。另一個就是,認證了

【悟空雲課堂】第十期:用不安全授權建立臨時檔案漏洞(CWE-378: Creation of Temporary File With Insecure Permissions)

技術標籤:悟空雲課堂程式碼規範安全安全漏洞資訊保安java 關注公眾號“中科天齊軟體安全中心”(id:woocoom),一起漲知識!

用hive建立的臨時表_【悟空雲課堂】第十期:用不安全授權建立臨時檔案漏洞(CWE-378)...

技術標籤:用hive建立的臨時表 關注公眾號“中科天齊軟體安全中心”(id:woocoom),一起漲知識!

API安全(五)-引數校驗

1、為什麼要做資料校驗   要保證系統的安全性,健壯性,資料校驗必不可少,校驗引數的合法性,不能因為前端或者其它呼叫段因為引數傳的不對導致我們的系統報錯。

API安全(四)-認證

1、什麼是認證   認證是指我們去驗證使用者身份是否合法的過程。 2、認證和登陸的區別

API安全(十)-登陸

1、登陸   在前面,我們把圖上常見的安全機制都做了一個簡單的實現,但是登陸並沒有在圖中體現,因為並不是每次呼叫API的時候都需要登陸;登陸只是一個偶爾發生的事情,並不像圖中的機制,每一次API的呼叫都貫穿

API安全(八)-審計

1、審計所在安全鏈路的位置,為什麼   如圖所示,審計應該做在認證之後,授權之前。因為只有在認證之後,我們在記錄日誌的時候,在知道請求是那個使用者發過來的;做在授權之前,哪些請求被拒絕了,在響應的時候,

API安全(七)-https

1、為什麼要使用https   以使用者註冊為例,通過資料校驗,可以保證使用者傳給我們的密碼是完整有效的。資料進來之後,通過我們的處理,存放到資料庫中的密碼是經過加密的,也是安全的。但是還有一點,就是使用者的

API安全(六)-密碼加密

1、密碼為什麼要加密   存在資料庫中的密碼如果是明文,一旦資料庫資料洩漏了,別人就可以拿著你的賬號密碼為所欲為。更何況有很多人在各個平臺的使用者名稱密碼都是一致的。所以使用者的密碼,一定要加密儲存。

【譯】API安全威脅Top 5

當今,越來越多的資料通過API進行獲取,API的安全性不再是一個事後才需要考慮的事情。關於API的麻煩之處在於它能直接訪問大量資料而無需瀏覽器的檢查。與其擔憂SQL注入和XSS問題,你更應該關注能夠對客戶記錄及其資料

JPA(Java Persistence API)學習(一對一對映)

1.概述 一對一對映對映表示一個單值關聯,其中一個實體的例項與另一個實體的例項相關聯。

使用ASP.NET WEB API 進行 JWT授權登入(二)

前言 上一次,簡單的普及了一波JWT。現在,接下來是對JWT的具體在專案如何使用的總結。

淺析前後端分離架構下的API安全問題:JWT保證token不被盜用的方案(即如何防範Replay Attacks)

  前後端分離架構帶來的好處一搜一大堆,這裡主要討論一下後端介面的安全問題。因為在分離的情況下,後端 api 是暴露在外網中的,常規的web專案無論如何前端都是要通過公網訪問到後臺api的,帶來的隱患也有很多。

python 呼叫api 安全組規則管理

from ast import Returnfrom HwUser import HwUserimport json\'\'\'在雲伺服器的/root/huawei 目錄下編寫 create_security_group_rule.py 檔案,並匯入賽項提供的 HwUser.py 檔案獲取授權。基於上一題的安全組,編寫

你的API還在裸奔?一文講解API攻防安全設計問題

前言 看起來好像前後端分離是個浪潮,原來只有APP客戶端會考慮這些,現在連Web都要考慮前後端分離 。這裡面不得不談的就是API的設計和安全性,這些個問題不解決好,將會給伺服器安全和效能帶來很大威脅 。下面我也是

Spark 系列()—— Spark SQL 之 Structured API

一、建立DataFrame和Dataset 1.1 建立DataFrame Spark 中所有功能的入口點是 SparkSession,可以使用 SparkSession.builder() 建立。建立後應用程式就可以從現有 RDD,Hive 表或 Spark 資料來源建立 DataFrame。示例

微服務API開放授權平臺的設計與實現

本文所介紹的專案是一個基於oath2協議的應用,實現的的功能邏輯與QQ互聯,微博開放平臺類似,都是同一套認證授權流程。

內部API安全防護怎麼搞?密碼學中有答案

前言 事情的起因是公司之前的CDN服務是通過騰訊雲的COSFS來做的,它的好處是可以像使用本地檔案系統一樣直接操作騰訊雲物件儲存中的物件,但後來因為效能等因素,我花時間把上傳檔案到CDN的功能用SDK重寫了(其實可能

PHP開發api介面安全驗證操作例項詳解

本文例項講述了PHP開發api介面安全驗證操作.分享給大家供大家參考,具體如下:

php開發api介面資料安全

API介面安全的介紹前三點我們可以使用加密的方式來解決,第四點我們寫程式碼時要注意防xss和sql注入等。設定基本引數首先是介面訪問的安全性的保障,不是誰想對介面訪問就能訪問的,解決思想:一般我們可以設定一些訪