Java电商项目面试--横向越权和纵向越权

本文探讨了电商项目中常见的安全问题——横向越权和纵向越权,详细解释了两者的概念,并提供了Java环境下防止这两种越权的解决方案。在横向越权方面,通过缓存机制确保用户只能操作自己的资源;而在纵向越权中,通过角色权限设置限制不同级别用户的操作范围。了解更多Java面试相关知识,请查看完整的面试目录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

面试题:什么是横向越权和纵向越权、如何解决?

1、什么是横向越权和纵向越权:
横向越权:攻击者尝试访问与他拥有相同权限的用户的资源
纵向越权:低级别攻击者尝试访问高级别用户的资源
2、如何解决:
横向越权场景:
对于横向越权,横向越权可能出现的场景有:
1、在用户忘记密码重置密码时,回答对了问题进入密码重置阶段时,如果知道其他用户的用户名,很容易改变此用户的密码,然后就可以进行越权访问了。
2、在删除收货地址的时候,如果用户登录了,输入的是其他用户的收货地址id,则把其他的用户的收货地址删了,项目中通过用户id和收货地址id两项才能删除,防止横向越权
代码如下:

public ServerResponse<String> del(Integer userId,Integer shippingId){
   int resultCount = shippingMapper.deleteByShippingIdUserId(userId,shippingId);
   if(resultCount > 0)
       <
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北极星小王子

你的鼓励是我创作的最大动力~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值