java项目中普遍存在的一个bug,用户直接可以通过url访问本人没有权限的页面

2017-01-13 15:06:04来源:csdn作者:u012255097人点击


1、问题描述:


java项目中普遍存在的一个bug,即使在项目做了权限限制,但是在用户正常登录后,可以利用其他工具获取他本人没有权限访问的路径,然后在浏览器中直接打开页面,这样就对项目安全造成很大的威胁,这种问题在很多项目中都存在,但处理方式各有不同。


2.问题原因:


 一般项目都是在用户登录时与登录成功后对项目功能点的展示上,但对用户登录后“不合法”的访问不能控制


3、解决思路:


  a)从项目是如何对用户做出权限限制的地方入手。(一般项目对用户做权限限制都会有用户权限表)


  b)考虑是否可以在用户登录后,根据用户信息去查询权限表,查询用户访问的url是否在用户权限表里存在。根据存在与否对其进行进一步限制。


  c)考虑添加此功能是否对项目稳定及效率会产生影响。如果直接查询用户权限表对会数据库产生压力,所以可以考虑将权限表的内容添加到项目缓存中


d)此功能的引用最好在过滤器节点上。


最新文章

123

最新摄影

微信扫一扫

第七城市微信公众平台