水平越權(quán)的常見解決方法

場景模擬

  • 場景一

    只允許資源的所有者才能對資源進行操作(CRUD)茁计。比如切黔,jack在某博客平臺寫了一篇私密文章,只有自己可以對這篇文章進行增刪查改的操作笙以;

  • 場景二

    允許指定個人或者角色也能對資源進行操作。比如冻辩,jack邀請他的好朋友mason對文章進行查看和修改猖腕;

方案一

最簡單和最直接的就是,在web層接收到操作請求后恨闪,在執(zhí)行這個操作前倘感,對請求的合法性進行校驗。比如咙咽,查詢當(dāng)前需要操作的資源是否歸屬當(dāng)前session中的已登錄用戶老玛;或者查詢當(dāng)前需要操作的資源是否是允許操作的其它用戶。

String loginUser = session.get("username");
// 增加水平越權(quán)校驗
if(!checkAuthority(loginUser,articleId)){
  return false;
}
// 執(zhí)行正常的操作
// 當(dāng)前登錄者是否是資源的所有者
private Boolean checkAuthority(String loginUser, String articleId){
  String articleOwner = articleService.getOwner(articleId);
  return Objects.equals(loginUser, articleOwner);
}
// 當(dāng)前登錄者是否有操作權(quán)限
private Boolean checkAuthority(String loginUser, String articleId){
  int count = articleService.getLegalUser(loginUser, articleId);
  return count > 0 ? Boolean.TRUE : Boolean.FALSE;
}

這種方案的優(yōu)點是實現(xiàn)簡單钧敞,邏輯清晰蜡豹;但是缺點也很明顯,需要對每一個請求都加上這種操作溉苛,很是繁瑣余素,而且多了一次數(shù)據(jù)庫查詢,效率肯定有所下降炊昆;

方案二

我們可以直接將登錄者的信息傳遞到SQL層面進行校驗,比如場景一我們可以在原SQL最后加上一句來限制資源的操作威根。

select * from artile where article_id = #{articleId}
and author = #{loginUser}

如果是場景二的話凤巨,我們需要多關(guān)聯(lián)一張表。

select * from artile a join author_guest g on a.author = g.author where article_id = #{articleId}
and g.guest = #{loginUser}

其中author_guest存放的是作者邀請的朋友之間的關(guān)系映射表洛搀。

這種方案的優(yōu)點是沒有增加額外的Java代碼敢茁,沒有增加額外的數(shù)據(jù)庫查詢,比較簡潔優(yōu)雅留美;但是缺點是需要改動SQL彰檬,增加了SQL的復(fù)雜性,而且有時一個SQL是供多塊邏輯共用的谎砾,A模塊需要鑒權(quán)逢倍,B模塊不需要鑒權(quán),那就要重新寫一份相同的SQL或者在SQL上加分支了景图,那SQL會變得更難以理解和維護较雕。

除此之外,好像還沒法區(qū)分沒有數(shù)據(jù)沒有權(quán)限兩種操作異常情況,只能給前端反饋操作異常的提示亮蒋,不是很友好扣典。

參考文章

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市慎玖,隨后出現(xiàn)的幾起案子贮尖,更是在濱河造成了極大的恐慌,老刑警劉巖趁怔,帶你破解...
    沈念sama閱讀 211,639評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件湿硝,死亡現(xiàn)場離奇詭異,居然都是意外死亡痕钢,警方通過查閱死者的電腦和手機图柏,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,277評論 3 385
  • 文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來任连,“玉大人蚤吹,你說我怎么就攤上這事∷婵伲” “怎么了裁着?”我有些...
    開封第一講書人閱讀 157,221評論 0 348
  • 文/不壞的土叔 我叫張陵,是天一觀的道長拱她。 經(jīng)常有香客問我二驰,道長,這世上最難降的妖魔是什么秉沼? 我笑而不...
    開封第一講書人閱讀 56,474評論 1 283
  • 正文 為了忘掉前任桶雀,我火速辦了婚禮,結(jié)果婚禮上唬复,老公的妹妹穿的比我還像新娘矗积。我一直安慰自己,他們只是感情好敞咧,可當(dāng)我...
    茶點故事閱讀 65,570評論 6 386
  • 文/花漫 我一把揭開白布棘捣。 她就那樣靜靜地躺著,像睡著了一般休建。 火紅的嫁衣襯著肌膚如雪乍恐。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 49,816評論 1 290
  • 那天测砂,我揣著相機與錄音茵烈,去河邊找鬼。 笑死砌些,一個胖子當(dāng)著我的面吹牛瞧毙,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播,決...
    沈念sama閱讀 38,957評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼宙彪,長吁一口氣:“原來是場噩夢啊……” “哼矩动!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起释漆,我...
    開封第一講書人閱讀 37,718評論 0 266
  • 序言:老撾萬榮一對情侶失蹤悲没,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后男图,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體示姿,經(jīng)...
    沈念sama閱讀 44,176評論 1 303
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,511評論 2 327
  • 正文 我和宋清朗相戀三年逊笆,在試婚紗的時候發(fā)現(xiàn)自己被綠了栈戳。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 38,646評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡难裆,死狀恐怖子檀,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情乃戈,我是刑警寧澤褂痰,帶...
    沈念sama閱讀 34,322評論 4 330
  • 正文 年R本政府宣布,位于F島的核電站症虑,受9級特大地震影響缩歪,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜谍憔,卻給世界環(huán)境...
    茶點故事閱讀 39,934評論 3 313
  • 文/蒙蒙 一匪蝙、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧习贫,春花似錦逛球、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,755評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽诅炉。三九已至蜡歹,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間涕烧,已是汗流浹背月而。 一陣腳步聲響...
    開封第一講書人閱讀 31,987評論 1 266
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留议纯,地道東北人父款。 一個月前我還...
    沈念sama閱讀 46,358評論 2 360
  • 正文 我出身青樓,卻偏偏與公主長得像,于是被迫代替她去往敵國和親憨攒。 傳聞我的和親對象是個殘疾皇子世杀,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 43,514評論 2 348

推薦閱讀更多精彩內(nèi)容

  • 一. Java基礎(chǔ)部分.................................................
    wy_sure閱讀 3,805評論 0 11
  • API定義規(guī)范 本規(guī)范設(shè)計基于如下使用場景: 請求頻率不是非常高:如果產(chǎn)品的使用周期內(nèi)請求頻率非常高,建議使用雙通...
    有涯逐無涯閱讀 2,521評論 0 6
  • 1.JVM 堆內(nèi)存和非堆內(nèi)存 堆和非堆內(nèi)存按照官方的說法:“Java 虛擬機具有一個堆(Heap)肝集,堆是運行時數(shù)據(jù)...
    yanzhu728閱讀 904評論 0 0
  • 業(yè)務(wù)處理層.h //分享單例對象 + (instancetype)shareLoadData; //獲取數(shù)據(jù) - ...
    法庫德閱讀 333評論 0 0
  • 循環(huán)結(jié)構(gòu)的種類 順序結(jié)構(gòu) 選擇結(jié)構(gòu) 循環(huán)結(jié)構(gòu) 順序結(jié)構(gòu) 從上到下依次執(zhí)行 選擇結(jié)構(gòu) if條件循環(huán) 三種格式第一種格...
    AuglyXu閱讀 459評論 0 0