简介
垂直越权是一种非常常见且非常严重的权限漏洞,具体表现就是,低权限的用户可以不受控制的访问高权限用户的资源。
方案一
基于资源限定的角色来进行垂直越权控制(如:shiro)
在controller类上增加注解@RequiresPermissions(),表示哪些角色可以访问当前这个资源
示例: 拥有admin,leader角色权限的可以访问这个接口
@RestController
@RequiresPermissions("admin,leader")
public class AuthTest {
@GetMapping(value = "/user")
public String getUser(){
return "zhang";
}
在controller类方法上增加注解@RequiresPermissions()
示例: 拥有admin,leader角色权限的可以访问这个接口
@RestController
public class AuthTest {
@RequiresPermissions("admin,leader")
@GetMapping(value = "/user")
public String getUser(){
return "zhang";
}
总结:这种方案优点是,实现起来非常简单,便于后续的维护,我们只需对新增的URL添加对应的允许访问的角色即可。但是缺点也非常的明显。
- 对于角色很多的系统,我们不得不在注解上加上很多允许的角色,会显得很冗长
- 对于角色不固定的系统,无法控制
- 如果后续新增了一个角色,那么就需要更改所有的允许访问的URL,挨个增加角色信息,费时费力,还容易遗漏
- 系统运行期间无法做到灵活调配不同角色允许访问的URL,必须修改代码重新部署。
方案二
基于资源和角色的配置关系进行垂直越权控制
@RestController
public class AuthTest {
@GetMapping(value = "/user")
public String getUser(){
return "zhang";
}
增加拦截器
@Configuration
public class AuthConfig implements WebMvcConfigurer {
@Autowired
private ResourceUrlAuthInterceptor resourceCodeBasedAuthInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(resourceCodeBasedAuthInterceptor);
}
}
拦截器越权控制
@Component
public class ResourceUrlAuthInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler){
String requestUrl = request.getRequestURI();
String requestMethod = request.getMethod();
checkRolePermission(requestUrl,requestMethod);
return true;
}
/**
* 校验权限
* @param requestUrl
* @param requestMethod
*/
private void checkRolePermission(String requestUrl,String requestMethod) {
//获取当前用户的resource
ShiroUser user = ShiroSession.getSessionUser();
List<ShiroResourceUrl> resourceUrlList = user.getResourceUrlList();
if (CollectionUtils.isEmpty(resourceUrlList)) throw new UnauthorizedException();
//匹配已有权限
for (String patten:resourceUrlList.stream().map(ShiroResourceUrl::getRequestUrl).collect(Collectors.toList())) if (UrlPattenUtils.checkUrl(patten, requestUrl)) return;
throw new UnauthorizedException();
}
//校验url
public static boolean checkUrl(String patten, String path) {
PatternMatcher matcher = new AntPathMatcher();
return matcher.matches(patten, path);
}
}
总结:这种方式只需要增加一个拦截器,拦截器中只要访问的地址包含在用户所允许的resourceUrl中,那么当前用户就可以访问。
表设计:
- user ,存储用户信息
- uid
- user_name
- role , 用户角色
- uid
- role_name
- role_user 用户角色关系,一个用户多个角色
- uid
- user_uid
- role_uid
- resource 资源信息
- uid
- reource_url
- role_resource 角色资源关系,一个角色多个资源
- uid
- role_uid
- resource_uid
- resource_url 资源访问url,可以多个
- uid
- resource_uid
- request_url
我们获取到用户的角色和角色对应的资源和资源对应的访问url就可以去做判断了
所以我们只需要维护在数据库中resource_uid和request_url就可以了
这种方案的优势:
- 不需要在代码中标注,完全不需要改动代码
- 只关心资源所对应的url权限即可
- 服务运行期间也可以维护
