2. 程式人生 > 實用技巧 >API安全(八)-審計

API安全(八)-審計

阿新 發佈:2020-07-14

1、審計所在安全鏈路的位置,為什麼

  如圖所示,審計應該做在認證之後,授權之前。因為只有在認證之後,我們在記錄日誌的時候,在知道請求是那個使用者發過來的;做在授權之前,哪些請求被拒絕了,在響應的時候,也可以把它記錄下來。如果放到授權之後 ,那麼被拒絕的請求就不能記錄了。

  審計日誌一定要持久化,方便我們對問題的追溯,可以把它放到資料庫中,也可以寫到磁碟中。實際工作中,一般會發送到公司統一的日誌服務上,由日誌服務來儲存。

2、審計採用的元件,及安全鏈路順序的保障

  首先,我們來明確一下各元件在請求中的執行順序,如下圖,依次是 Filter -> Interceptor -> ControllerAdvice -> AOP -> Controller

  對於Filter之間,我們可以使用@Order註解來確定執行順序;對於Interceptor之間根據註冊的先後順序執行。這裡我們的審計功能選擇Filter和Interceptor都可以,根據自己的喜好即可。

3、實現審計功能

  3.1、審計日誌類及持久層介面

/**
 * 審計日誌
 */
@Data
@Entity
@Table(name = "audit_log")
@EntityListeners(value = AuditingEntityListener.class)
public class AuditLogDO {

    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;

    private String httpMethod;

    private String path;

    private Integer httpStatus;

    @CreatedBy
    private String username;

    @CreatedDate
    private LocalDateTime requestTime;

    @LastModifiedDate
    private LocalDateTime responseTime;

    private String errorMessage;

}
/**
 * 審計日誌Repository
 */
public interface AuditLogRepository extends JpaRepositoryImplementation<AuditLogDO,Long> {
}

  3.2、開啟JPA審計功能配置

/**
 * JPA相關配置
 */
@Configuration
@EnableJpaAuditing
public class JpaConfig {

    /**
     * 獲取當前登陸使用者
     */
    @Bean
    public AuditorAware<String> auditorAware() {
        return () -> {
            HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
            UserDO user = (UserDO) request.getAttribute("user");
            if (user != null) {
                return Optional.of(user.getUsername());
            } else {
                return Optional.of("anonymous");
            }
        };
    }

}

  此處不懂的,可以去看我寫的JPA文章:https://www.cnblogs.com/caofanqi/p/11996718.html

  3.3、基於Filter實現審計功能AuditLogFilter,流控過濾器設定@Order(1)、認證過濾器設定@Order(2)

/**
 * 審計過濾器
 */
@Slf4j
@Order(3)
@Component
public class AuditLogFilter extends OncePerRequestFilter {


    @Resource
    private AuditLogRepository auditLogRepository;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        log.info("++++++3、審計++++++");

        AuditLogDO auditLogDO = new AuditLogDO();
        auditLogDO.setHttpMethod(request.getMethod());
        auditLogDO.setPath(request.getRequestURI());
        //放入持久化上下文中,供異常處理使用
        auditLogRepository.save(auditLogDO);
        request.setAttribute("auditLogId",auditLogDO.getId());

        // 執行請求
        filterChain.doFilter(request,response);

        // 執行完成,從持久化上下文中獲取,並記錄響應資訊
        auditLogDO = auditLogRepository.findById(auditLogDO.getId()).get();
        auditLogDO.setHttpStatus(response.getStatus());

        auditLogRepository.save(auditLogDO);

    }

}

  3.4、異常處理ControllerAdvice

    /**
     *
     * @param e 系統異常
     * @return 系統異常及時間
     */
    @ExceptionHandler
    @ResponseStatus(code = HttpStatus.INTERNAL_SERVER_ERROR)
    public Map<String,Object> exceptionHandler(Exception e){
        /*
         *  如果有異常的化,將審計日誌取出,記錄異常資訊
         */
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        Long auditLogId = (Long) request.getAttribute("auditLogId");
        AuditLogDO auditLogDO = auditLogRepository.findById(auditLogId).orElse(new AuditLogDO());
        auditLogDO.setErrorMessage(e.getMessage());
        auditLogRepository.save(auditLogDO);

        Map<String, Object> info = Maps.newHashMap();
        info.put("message", e.getMessage());
        info.put("time", LocalDateTime.now());
        return info;
    }

  3.5、啟動專案,進行測試,訪問http://127.0.0.1:9090/users/40,並填寫正確的使用者名稱密碼

  執行順序如下

  資料庫審計日誌表

  準備一個有錯誤的方法

    @DeleteMapping("/{id}")
    public void delete(@PathVariable Long id){
        int i = 1 / 0 ;
    }

  測試如下:

  資料庫審計日誌表

  3.6、如果想基於Interceptors來實現,做如下修改

    3.6.1、AuditLogInterceptor攔截器

/**
 * 基於Interceptor的審計攔截器 ,與AuditLogFilter同時只能使用一個
 */
@Slf4j
@Component
public class AuditLogInterceptor extends HandlerInterceptorAdapter {


    @Resource
    private AuditLogRepository auditLogRepository;


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {

        log.info("++++++3、審計++++++");

        AuditLogDO auditLogDO = new AuditLogDO();
        auditLogDO.setHttpMethod(request.getMethod());
        auditLogDO.setPath(request.getRequestURI());

        auditLogRepository.save(auditLogDO);

        request.setAttribute("auditLogId",auditLogDO.getId());

        return true;
    }


    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler,Exception ex){
        Long auditLogId = (Long) request.getAttribute("auditLogId");

        AuditLogDO auditLogDO = auditLogRepository.findById(auditLogId).orElse(new AuditLogDO());
        auditLogDO.setHttpStatus(response.getStatus());

        auditLogRepository.save(auditLogDO);

    }

}

  3.6.2、註冊攔截器

/**
 * web配置類
 */
@Configuration
public class WebConfig implements WebMvcConfigurer {


    @Resource
    private AuditLogInterceptor auditLogInterceptor;

    /**
     * 註冊攔截器
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(auditLogInterceptor);
    }

}

  3.6.3、進行3.5的測試效果相同

相關推薦

API安全()-審計

1、審計所在安全鏈路的位置,為什麼   如圖所示,審計應該做在認證之後,授權之前。因為只有在認證之後,我們在記錄日誌的時候,在知道請求是那個使用者發過來的;做在授權之前,哪些請求被拒絕了,在響應的時候,

API安全(五)-引數校驗

1、為什麼要做資料校驗   要保證系統的安全性,健壯性,資料校驗必不可少,校驗引數的合法性,不能因為前端或者其它呼叫段因為引數傳的不對導致我們的系統報錯。

API安全(四)-認證

1、什麼是認證   認證是指我們去驗證使用者身份是否合法的過程。 2、認證和登陸的區別

API安全(十)-登陸

1、登陸   在前面,我們把圖上常見的安全機制都做了一個簡單的實現,但是登陸並沒有在圖中體現,因為並不是每次呼叫API的時候都需要登陸;登陸只是一個偶爾發生的事情,並不像圖中的機制,每一次API的呼叫都貫穿

API安全(九)-授權

1、授權   授權在整個安全機制中,是比較重要的一環,一般要考慮兩個事情,一個是訪問的請求需不需要身份認證,如果不需要直接放過,如果需要,但是沒有認證,應該返回401,需要使用者進行認證。另一個就是,認證了

API安全(七)-https

1、為什麼要使用https   以使用者註冊為例,通過資料校驗,可以保證使用者傳給我們的密碼是完整有效的。資料進來之後,通過我們的處理,存放到資料庫中的密碼是經過加密的,也是安全的。但是還有一點,就是使用者的

API安全(六)-密碼加密

1、密碼為什麼要加密   存在資料庫中的密碼如果是明文,一旦資料庫資料洩漏了,別人就可以拿著你的賬號密碼為所欲為。更何況有很多人在各個平臺的使用者名稱密碼都是一致的。所以使用者的密碼,一定要加密儲存。

【譯】API安全威脅Top 5

當今,越來越多的資料通過API進行獲取,API的安全性不再是一個事後才需要考慮的事情。關於API的麻煩之處在於它能直接訪問大量資料而無需瀏覽器的檢查。與其擔憂SQL注入和XSS問題,你更應該關注能夠對客戶記錄及其資料

JPA(Java Persistence API)學習(集合對映Map)

1.概述 Map是一個介面,其中一個唯一鍵與每個值物件相關聯。 因此,搜尋,更新,刪除等操作都是基於鍵來進行的。

2.3.8 mysql安全審計

6、 MySQL安全審計管理審計:記錄你的操作,方便以後查證據,但是生產環境資料庫本身不建議開啟,影響效能,但可以使用第三方審計6.1 開源審計功能 mysql Audit Plugingmysq15.7企業版自帶審計功能,需要付費社群版

淺析前後端分離架構下的API安全問題:JWT保證token不被盜用的方案(即如何防範Replay Attacks)

  前後端分離架構帶來的好處一搜一大堆,這裡主要討論一下後端介面的安全問題。因為在分離的情況下,後端 api 是暴露在外網中的,常規的web專案無論如何前端都是要通過公網訪問到後臺api的,帶來的隱患也有很多。

jQuery常用API)——jQuery事件

8.jQuery事件 8.1 jQuery事件註冊 <body> <div></div> <script> $(function() { // 1. 單個事件註冊

python 呼叫api 安全組規則管理

from ast import Returnfrom HwUser import HwUserimport json\'\'\'在雲伺服器的/root/huawei 目錄下編寫 create_security_group_rule.py 檔案,並匯入賽項提供的 HwUser.py 檔案獲取授權。基於上一題的安全組,編寫

你的API還在裸奔?一文講解API攻防安全設計問題

前言 看起來好像前後端分離是個浪潮,原來只有APP客戶端會考慮這些,現在連Web都要考慮前後端分離 。這裡面不得不談的就是API的設計和安全性,這些個問題不解決好,將會給伺服器安全和效能帶來很大威脅 。下面我也是

Java併發程式設計入門(十)再論執行緒安全

Java極客  |  作者  /  鏗然一葉 這是Java極客的第 46 篇原創文章 一、無需加鎖的執行緒安全場景

內部API安全防護怎麼搞?密碼學中有答案

前言 事情的起因是公司之前的CDN服務是通過騰訊雲的COSFS來做的,它的好處是可以像使用本地檔案系統一樣直接操作騰訊雲物件儲存中的物件,但後來因為效能等因素,我花時間把上傳檔案到CDN的功能用SDK重寫了(其實可能

PHP開發api介面安全驗證操作例項詳解

本文例項講述了PHP開發api介面安全驗證操作.分享給大家供大家參考,具體如下:

php開發api介面資料安全

API介面安全的介紹前三點我們可以使用加密的方式來解決,第四點我們寫程式碼時要注意防xss和sql注入等。設定基本引數首先是介面訪問的安全性的保障,不是誰想對介面訪問就能訪問的,解決思想:一般我們可以設定一些訪

Asp.Net Core Web Api基於cookie的安全驗證

一直以來都有一個說法,在對Asp.Net Core Web Api進行安全驗證時,只能使用Token而不能使用Cookie.

PHP開發api介面安全驗證

前臺 這裡我並沒有實際的前臺,直接使用一個PHP檔案代替前臺,然後通過CURL模擬GET請求。