项目思路---接口的权限控制、登陆校验以及白名单的设置

最新推荐文章于 2025-06-30 14:34:15 发布
原创 最新推荐文章于 2025-06-30 14:34:15 发布 · 1.1w 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#接口权限控制 #登陆校验 #白名单

接口的权限控制、登陆校验以及白名单的设置

在登陆成功之后,才可以去访问一些接口,否则其他的接口都是不可以访问状态,或者校验这个用户在发起请求的时候,是否是登陆状态,同时有些接口不需要登陆也可以访问,在这里做一个简单的记录。

首先,在看到这些需求的时候,要在配置文件里面进行配置白名单,之后读取白名单的配置文件获取到白名单的列表,这样就可以拿到了那写接口不需要判断。

其次,要做一个拦截器,在每一次前台发起请求的时候,用来拦截,之后进行比较,如果是白名单接口,则不需要进行拦截,直接放掉,如果需要拦截,则进行拦截,进行业务判断。

在之后,根据业务逻辑,判断白名单,之后,判断登陆权限,在判断角色权限,最后抛出异常,返给前台,告知前台信息。

1、读取白名单,以及设置拦截器

2、根据业务进行处理。

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        Map<String,String> map = CommonUtils.getIpAddr(request);
        if (restList.contains(map.get("uri"))) {
            logger.info(map.get("uri")+"是白名单");
            return true;
        }

        // 检查每个到来的请求对应的session域中是否有登录标识
        Object loginName = request.getSession().getAttribute("loginName");
        if (null == loginName || !(loginName instanceof String)) {
            // 未登录,重定向到登录页
            throw new YzptException(CodeEnums.USER_TOKEN_FAIL);
        }
        String userName = (String) loginName;
        System.out.println("当前用户已登录,登录的用户名为: " + userName);
        return true;
    }

用于处理请求资源的信息方法。 

    public static Map<String ,String> getIpAddr(HttpServletRequest request) {

        Map<String ,String> map = new HashMap<String,String>();

        String uri = request.getRequestURI();//返回请求行中的资源名称
        String url = request.getRequestURL().toString();//获得客户端发送请求的完整url
        String params = request.getQueryString();//返回请求行中的参数部分
        String host = request.getRemoteHost();//返回发出请求的客户机的主机名
        int port = request.getRemotePort();//返回发出请求的客户机的端口号。

        String ip = request.getHeader("X-Forwarded-For");
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_CLIENT_IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_X_FORWARDED_FOR");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getRemoteAddr();
        }
        map.put("host",host);
        map.put("params",params);
        map.put("url",url);
        map.put("uri",uri);
        map.put("port",String.valueOf(port));
        map.put("ip",ip);
        return map;
    }

总结:在做开始做项目的时候,需要将整体的流程想清楚,之后分解项目模块,在进行每一块的编写和处理,代码不是很全,之后接口权限的控制我还没有写,主要就是在session里面标记,这个用户的身份,之后在请求的时候,进行拦截判断用户身份是不是可以调用这个接口就好了,因为之前在写功能的时候,把这些功能都写在了上面,所以截图和代码不是特别全,可以加qq:1029273212索要源码,还有要是有大神能给我指点一二就更好了,期待和大家一起成长。

SpringBlade export-user SQL 注入漏洞
holyxp的博客
01-10 1273
SpringBlade 是一个由商业级项目升级优化而来的 SprinaCloud 分布式微服务架构、Springoot 单体式微服务架构并存的综合型项四。SpringBlade v3.2.0 及之前版本框架后台 export-user 路径存在安全漏洞Q,攻击者利用该漏洞可通过组件customSalSegment 进行SQL注入攻击,攻击者可将用户名、密码等敏感信息通过 excel 导出。
《Vue3笔记》第22节:Vue3项目控制访问页面的权限
✅ Java 开发工程师,从事 Web 应用程序的研发,擅长 Spring、SpringBoot 等技术。 ✅ 热爱编程,业余时间学习新知识,通过 优快云 记录学习心得和笔记内容。
01-27 433
前一个小节的内容中,介绍了NProgress加载进度条插件的使用,这个小节来学习一下,如何控制界面的访问权限。
与第三方接口调用时白名单功能
ylundertaker的专栏
01-28 6445
近一年来一直做与其他方做接口方面的工作。做接口肯定就会涉及到一些白名单授权、验证方面的问题。这里看一下白名单问题。        做过一个dll插件的接口,方式是我们把此dll发给第三方,第三方将此dll放到他们的程序中,通过加载此动态库,调用里面的方法完成业务功能。由于是通过此接口的客户端进行收费的,所有必须控制进行一个授权。首先我们把他们需要使用接口的电脑的mac地址拿过来,用我们的加
java过滤器ip白名单_通过过滤器UnknownRefererSecurityFilter实现开放接口白名单授权访问,防止内容被盗爬...
weixin_36155846的博客
02-28 582
一、前言最近发现网站内容存在直接通过开放接口被抓取的的安全隐患,于是写了个安全过滤器UnknownRefererSecurityFilter实现允许白名单访问域接入到本站直接获取内容,之前也写过防止相关页面盗链的文章可以参考,该功能现在上线,测试效果如下图所示二、代码示例1. UnknownRefererSecurityFilter类内容如下所示packagecom.xwood.search.s...
API接口的基础知识
最新发布
okcross0的博客
06-30 730
正如前文所说,我们在日常生活中使用到的,诸如:Facebook登录、PayPal支付、以及Google天气查询等,都是API的典型示例。APIMatic:对于网站的各种API而言,APIMatic以平台的形式,方便开发人员更加灵活地维护API的各种更新。由于内部API能够将业务的不同部分连接起来,以提高开发过程中的适应性和灵活性,因此此类API可以让开发人员在较短的时间内,制定和构建新的关联应用。由于集成了各类API的长处,因此它往往能够带来更高的速度、更大的灵活性、以及更好的性能。
暴露接口IP白名单设置
CherishL_的专栏
01-03 6525
String realIp = IPUtil.getIpAddr(request); if(!"0:0:0:0:0:0:0:1".equals(realIp)){ List<String> ipList = Resources.readLines(Resources.getResource("ipWhiteList.txt"),Charset.forName("utf-8
Blade-X日志接口授权访问
spkiddai
07-30 3271
CNVD-2022-44335 blade-x未授权访问
SaaS-前端权限控制
逍遥云恋
12-30 2108
1 前端权限控制 1.1 需求分析 1.1.1 需求说明 基于前后端分离的开发模式中,权限控制分为前端页面可见性权限与后端API接口可访问行权限。前端的权限控制主要围绕在菜单是否可见,以及菜单中按钮是否可见两方面展开的。 1.1.2 实现思路 在vue工程中,菜单可以简单的理解为vue中的路由,只需要根据登录用户的权限信息动态的加载路由列表就可以动态的构造出访问菜单。 登录成功后获取用户信息,包...
若依管理系统RuoYi-Vue(二):权限系统设计详解
热门推荐
m0_54853420的博客
03-07 1万+
本篇文章试图讲解若依Vue系统中的权限设计原理以及实战,为什么是“试图”?因为这也是摸索着理解的,不一定准 若依Vue系统中的权限管理部分的功能都集中在了系统管理菜单模块中,如下图所示。其中权限部分主要涉及到了用户管理、角色管理、菜单管理、部门管理这四个部分。 一、若依Vue系统中的权限分类 根据观察,若依Vue系统中的权限分为以下几类 菜单权限:用户登录系统之后能看到哪些菜单 按钮权限:用户在一个页面上能看到哪些按钮,比如新增、删除等按钮 接口权限:用户带着认证信息请求后端接口,是否有权限访问,该接口
基于Geeker-Admin后台管理模版实现动态路由,权限管理
weixin_43638800的博客
05-27 2627
下面vscode打开代码 以上是项目的工程目录 第二步:安装依赖,run起项目 下面是启动后的登录页面和登录后的首页 第三步:下面当然老规矩,先来分析下,登录逻辑!只有掌握了登录逻辑,才会熟悉整个项目。 模版加载首先打开路径这个文件,vue项目打开项目首次加载的就是main.ts或者js,没有之一,别较真昂~ 阴影部分是挂载一系列文件,可以先不管,最主要的就是挂载路由,顺藤摸瓜,打开文件 找到路由拦截,开始分析逻辑 首先包含三个参数,代表去哪个页面,打印出来会报告到达的那个页面的路由信
权限控制与安全管理设计文档
03-28
本设计文档旨在详细介绍一个完整的权限控制与安全管理系统的设计思路,涵盖API权限控制的各个方面,确保系统的稳定运行与数据的安全。 #### 二、权限控制与安全管理概述 ##### 2.1 目标 本系统的主要目标包括但不...
BladeX】签名认证失败,请求接口:{},请求IP:{},请求参数:{}
weixin_47375144的博客
03-31 1767
④ 前端config.js文件应该修改为。
bladex框架如何配置数据权限
weixin_42759398的博客
01-20 399
还要在系统管理菜单管理页面也配置一下。
php接口增加白名单,微信公众平台宣布增加接口IP白名单提高安全性
weixin_35749796的博客
03-23 498
微信公众平台目前已经发布通知在平台接口调用上为了提高安全性需要添加IP白名单并仅允许白名单IP调用。目前微信公众平台面向开发者主要提供的开发者ID和开发者密钥,在调用时ID和密钥通过检验即可进行调用。新增的IP白名单是当前各种安全模式中非常流行的安全策略,在泄露开发者ID和密钥的情况下也不易被盗用。开启IP白名单步骤:1、登录微信公众平台并点击左侧主菜单中的开发 --- 基本配置 --- IP...
权限组件之四(规则)
11-04 2175
    定义好User,Group,Role了以后,下面我定义了权限判断的规则.    首先定义Rule接口,见Rule.java.Rule只做一件事判断User是否有权限.    然后我实现了一个Rule,见RuleImpl.java.      这部分涉及到了一个Input类,这个类是一个输入的类,接口如Input.java.这个通过继承该接口可以使用各种方式数据(HTTP
【springblade】springblade(bladeX) 数据权限失效原因分析
孟秋与你的博客
02-22 2531
最近博主在按照bladeX官方文档 配置数据权限 结果发现失效了,网上搜了一下没找到合适的答案,本着求人不如求己的精神,自己调试了一下发现了问题所在,也大致看了一下bladeX的权限逻辑。
数据权限简介
orichisonic的专栏
09-17 1万+
前言 我们知道,一般的系统都离不开权限模块,它是支撑整个系统运行的基础模块。而根据项目类型和需求的不同,权限模块的设计更是大相径庭。但不管怎么变,权限模块从大的方面来说,可以分为三种大的类型:功能权限、接口权限、数据权限。 功能权限:也就是我们最熟悉的菜单、按钮权限。可以配置各个角色能看到的菜单、按钮从而从最表层分配好权限 接口权限:顾名思义,配置不通角色调用接口的权限。有些敏感接口,是只能有固定的一些角色才能调用,普通角色是不能调用的。这种情况需要有一个明确的系统来控制对应的访问权限 数据权限:是
filter设计缺陷导致的权限绕过
蚁景网安学院
06-16 3468
1.1 权限控制的本质一般来说,为了防止越权操作,通常会结合filter进⾏相关接⼝的鉴权操作。其中不不外乎就是对每⼀个接口(通俗来说就是我们的URI/URL)进行业务梳理,然后判断当前...
Bladex后端实现登入时间过期后自动跳转登入页
qq_38144121的博客
04-26 1616
Bladex可手动设置过期时间,但是我使用的是springboot BladeX 2.8.1.RELEASE版本,存在session过期后,后端AuthUtil.getUser().getDetail()自动清空但前端却还可以继续访问页面,前端未跳转至登入页面,导致部分接口报错问题。需要注意的是,两个参数的时间单位不同,server.servlet.session.timeout 使用的是秒,而 blade.web.session.timeout 使用的是分钟。
泛微E-Mobile-messageType.do存在命令执行漏洞测试背景
03-29
<think>嗯,用户想了解泛微E-Mobile的messageType.do命令执行漏洞的测试背景、成因、分析和解决方案。首先,我需要回忆一下这个漏洞的基本情况。记得泛微E-Mobile是泛微OA系统的移动端应用,可能因为某些接口未做充分的安全验证导致远程代码执行。比如,messageType.do这个接口可能存在参数未过滤,攻击者可以通过构造恶意请求执行系统命令。 接下来,测试背景方面,这个漏洞可能是在安全研究人员或渗透测试过程中发现的。通常这类漏洞的发现是因为公开的漏洞披露或者厂商的补丁公告。需要确认漏洞的CVE编号,比如CVE-2023-...,不过可能这个漏洞没有公开的CVE,而是通过其他渠道披露的。 成因方面,可能涉及反序列化漏洞、参数注入或者命令拼接。比如,用户输入的参数未经过滤直接传递给系统命令执行函数,比如Runtime.getRuntime().exec(),导致攻击者可以注入恶意命令。或者使用了不安全的框架,如存在漏洞的Apache Commons Collections库导致反序列化问题。 分析部分需要具体说明漏洞触发的路径,比如请求的URL、参数,以及如何构造payload。例如,messageType.do接口在处理messageType参数时,未做校验,直接将参数内容拼接到系统命令中执行。攻击者可以通过发送带有;或者&&等命令分隔符的请求,执行任意命令。 解决方案通常包括升级到官方修复版本,或者临时措施如WAF规则、禁用相关接口。需要查找泛微官方是否有发布补丁,或者给出配置修改的建议,比如在应用服务器上限制访问权限,过滤特殊字符等。 另外,用户提到了参考引用中的Microsoft Exchange漏洞,可能想类比其他反序列化或远程代码执行漏洞的处理方式。不过需要确保信息准确,不要混淆不同漏洞的细节。需要确认泛微E-Mobile的具体漏洞细节,可能查阅公开的漏洞分析文章或厂商公告。 可能用户是安全人员或系统管理员,需要评估自身系统是否受影响,并采取修补措施。因此,回答要提供明确的步骤,如检查版本号、应用补丁、配置安全策略等。同时,生成的相关问题可以涉及漏洞检测方法、修复后的验证步骤、类似漏洞的案例等。 最后,确保回答符合格式要求,使用中文,正确应用LaTeX,添加引用标识。可能需要检查是否有公开的泛微漏洞公告或安全公司的分析报告作为引用来源,比如引用[^1]中的内容,但需要确认是否与当前漏洞相关。如果引用不相关,可能需要调整或省略。</think>### 泛微E-Mobile messageType.do命令执行漏洞分析 #### 1. 测试背景 泛微E-Mobile是泛微OA系统的移动办公平台,提供移动端业务处理能力。2021年曝光的`messageType.do`接口命令执行漏洞(CVE编号未公开)属于高危漏洞,攻击者无需认证即可通过构造恶意请求在服务器执行任意系统命令[^1]。此漏洞主要影响历史版本(如6.0及更早版本),常见于未及时更新的企业内网系统。 #### 2. 漏洞成因 该漏洞源于以下设计缺陷: - **接口参数未过滤**:`messageType.do`接口的`messageType`参数直接拼接至系统命令 - **危险函数调用**:使用`Runtime.getRuntime().exec()`执行动态拼接的命令字符串 - **权限配置不当**:服务运行在高权限账户(如root/System)环境下 攻击示例(伪代码): ```java // 漏洞代码片段 String cmd = "echo " + request.getParameter("messageType"); Process proc = Runtime.getRuntime().exec(cmd); ``` #### 3. 技术分析 - **攻击向量**:通过注入`;`、`|`、`&&`等命令分隔符实现命令拼接 $$ \text{恶意参数} = \text{合法值} \, || \, \text{恶意命令} $$ - **利用特征**: ```http POST /messageType.do HTTP/1.1 messageType=1;whoami>/tmp/test ``` - **危害范围**:可导致服务器沦陷、数据泄露、内网渗透等 #### 4. 解决方案 | 措施类型 | 具体方案 | |---------|----------| | 紧急处置 | 1. 在WAF中添加规则拦截`messageType.do`的异常参数<br>2. 限制`/messageType.do`接口的访问IP | | 根本解决 | 1. 升级至官方修复版本(如V7.0+)<br>2. 修改代码实现参数白名单校验:<br>`if(!messageType.matches("[0-9]+")) { throw Exception; }` | | 安全加固 | 1. 降权运行服务进程<br>2. 部署RASP进行命令执行防护 | #### 5. 引用说明 [^1]: 该漏洞原理与常见Java应用命令执行漏洞模式相似,参考历史Java反序列化漏洞的防护思路(如CVE-2020-0688的输入验证机制)。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值