AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

直捣黄龙,我直接攻破公司的认证框架调用系统的接口

2023-01-31 87
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 直捣黄龙,我直接攻破公司的认证框架调用系统的接口

公司使用的安全架构是Shiro,所以每访问一个请求都需要带一个令牌去访问这个接口,否则就是被拦截,其实我们可以在配置类中把要访问的接口给放开,允许通行:


public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // Shiro的核心安全接口,这个属性是必须的
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        filterChainDefinitionMap.put("/user_curriculum_vitae/pull", "anon");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }


类似上面这样我们就把user_curriculum_vitae这个接口给放开了。

但是!!这就意味着他获取不到令牌了,没有令牌只有也意味着获取不到用户的信息,这样系统在进行用户信息的时候就会报错,这样我们有什么更好的方法呢?类似想实现一个免登录的功能?只需要账号即可跳过验证,拿到用户的信息。

这里我们就要请出今天的主角:Filter

这里类是在javax.servlet包下,也就是说是java提供的最原始的过滤器接口,所以我们可以实现这个接口:

@WebFilter
@Component
public class AuthFilter implements Filter {
    @Autowired
    private CmcServerFeigin cmcServerFeigin;
    /**
     * 要拦截的请求
     *
     * @Param:
     * @return:
     * @Author: MaSiyi
     * @Date: 2022/2/11
     */
    private final String[] filter = {
            "/ddqr/autoCreatedFlow",
            "/autoCreateFlow/handleCreateFlow",
            "/autoCreateFlow/normalCreateFlow"
    };
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        String requestURI = request.getRequestURI();
        List<String> list = Arrays.asList(filter);
        if (list.contains(requestURI)) {
            filterChain.doFilter(setKeyId(request), response);
        } else {
            filterChain.doFilter(request, response);
        }
    }
    /**
     * 往请求头添加 keyId
     *
     * @param request
     * @return
     */
    public RHttpServletRequest setKeyId(HttpServletRequest request) {
        RHttpServletRequest rHttpServletRequest = new RHttpServletRequest(request);
        //获取
        JSONObject obj = new JSONObject();
        ResultUtils res;
        String psnCode = rHttpServletRequest.getHeader("psnCode");
        if (!StringUtils.isEmpty(psnCode)) {
            obj.put("signature", psnCode);
        }
        res = cmcServerFeigin.getToken(obj);
        String keyId = "";
        if (CodeEnums.SUCCESS_CODE.getCode().equals(res.getCode())) {
            JSONObject jsonObject = JsonUtils.toJsonObject(res.getData());
            String token = jsonObject.getString("token");
            keyId = token == null ? jsonObject.getString("keyId") : token;
        } else {
            System.out.println("获取keyId失败:" + JsonUtils.toJsonObject(res));
        }
        rHttpServletRequest.addHeader("keyId", keyId);
        return rHttpServletRequest;
    }
    @Override
    public void destroy() {
    }
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
}

这里我们一个要实现三个抽象方法:

doFilter //过滤器 destroy //销毁的时候调用 init // 初始化的时候调用

在doFilter方法中我们,可以对请求头和返回体做响应,其实可以理解为一个拦截器

而在

    private final String[] filter = {
            "/autoCreateFlow/handleCreateFlow",
            "/autoCreateFlow/normalCreateFlow"
    };


这个数组中,我们可以理解他为过滤器,这里有一个面试官常常问的问题:


你了解过拦截器和过滤器吗?


其实按照我的理解就是拦截器就是对请求在进入方法之前我们可以对他们进行一些特殊的操作,例如修改请求体等等,而过滤器呢就是可以过滤掉一些请求去访问我们的方法,例如过滤掉某些不需要认证的接口,如springsecurity中放行的接口。


所以上面这个类的作用就是,凡是在我filter数组中的请求我们就可以对他们进行一些操作,这里的操作就是在他们的request中添加对应的授权信息,这样就使得别人调用接口的时候就可以实现权限的认证了。


但是!在上面的HttpServletRequest类中他是没有添加请求头的方法的,所以这里我们要重写一个类用来给请求头添加信息:

public class RHttpServletRequest extends HttpServletRequestWrapper {
    private Map<String, String> headerMap = new HashMap<>();
    public RHttpServletRequest(HttpServletRequest request) {
        super(request);
    }
    @Override
    public String getParameter(String name) {
        return super.getParameter(name);
    }
    /**
     *
     * 添加具有给定名称和值
     * @param name
     * @param value
     */
    public void addHeader(String name, String value) {
        headerMap.put(name, value);
    }
    @Override
    public String getHeader(String name) {
        String headerValue = super.getHeader(name);
        if (headerMap.containsKey(name)) {
            headerValue = headerMap.get(name);
        }
        return headerValue;
    }
    @Override
    public Enumeration<String> getHeaderNames() {
        List<String> names = Collections.list(super.getHeaderNames());
        for (String name : headerMap.keySet()) {
            names.add(name);
        }
        return Collections.enumeration(names);
    }
    @Override
    public Enumeration<String> getHeaders(String name) {
        List<String> values = Collections.list(super.getHeaders(name));
        if (headerMap.containsKey(name)) {
            values = Arrays.asList(headerMap.get(name));
        }
        return Collections.enumeration(values);
    }
}


这样就能够实现对于请求头的相关操作啦!

如果你看到这里,希望给博主一个点赞收藏加关注哦!!


文章标签:
Java
安全
掉头发的王富贵
目录
相关文章
科技小能手
|
网络协议
华为HCIE7-中间系统到中间系统的路由泄露、防环、认证和优化机制
科技小能手
1696 0
阿里云认证支持
|
云计算
为什么一定要考阿里云认证?对工作有什么帮助?
考证对工作的帮助并不是短时间内见效的,而是长期的回报,在同等的技术下选择拥有证书的,在拥有证书的人群中选择技术更好的,这是职场永远不变的铁律。
阿里云认证支持
526 1
电商API开发15870092527
|
存储 监控 安全
关于 API 安全你需要知道的那些事,不知道会后悔!接口被恶意调用,数据被篡改等问题
回到正题,不管是 app,还是各个访问终端的入口,作为最终承载交互数据的来源 — API 接口,无疑需要对数据的安全访问提供最终的支撑和保障。接下来,让我们花点时间来聊聊关于 API 接口安全的那些事吧。
电商API开发15870092527
1348 0
技术工程师
|
数据安全/隐私保护
带你读《商用密码技术最佳实践白皮书》——委托凭证(2)
带你读《商用密码技术最佳实践白皮书》——委托凭证(2)
技术工程师
67 0
技术工程师
|
数据安全/隐私保护
带你读《商用密码技术最佳实践白皮书》——委托凭证(1)
带你读《商用密码技术最佳实践白皮书》——委托凭证(1)
技术工程师
74 0
云安全专家
|
云安全 监控 安全
只想着一直调用一直爽, 那API凭证泄漏风险如何破?
如今各家云厂商都通过给用户提供API调用的方式来实现一些自动化编排方面的需求。为了解决调用API过程中的通信加密和身份认证问题,大多数云厂商会使用同一套技术方案—基于非对称密钥算法的鉴权密钥对,这里的“密钥对”即API凭证,是云上用户调用云服务API、访问云上资源的唯一身份凭证。
云安全专家
2415 0
布客飞龙
|
安全 Android开发 开发者
安卓应用安全指南 5.3.3 将内部账户添加到账户管理器 高级话题
5.3.3 将内部账户添加到账户管理器 高级话题 原书:Android Application Secure Design/Secure Coding Guidebook 译者:飞龙 协议:CC BY-NC-SA 4.0 5.3.3.1 账户管理和权限的使用 要使用AccountManager类的每种方法,都需要在应用的AndroidManifest.xml中分别声明使用相应的权限。
布客飞龙
1448 0
布客飞龙
|
XML 安全 Android开发
安卓应用安全指南 5.3.1 将内部账户添加到账户管理器 示例代码
5.3.1 将内部账户添加到账户管理器 示例代码 原书:Android Application Secure Design/Secure Coding Guidebook 译者:飞龙 协议:CC BY-NC-SA 4.0 “5.3.1.1 创建内部帐户”是认证器应用的示例,“5.3.1.2 使用内部帐户”是请求应用的示例。
布客飞龙
1179 0
技术小甜
|
虚拟化 云计算
带你攀顶云端高级认证,有这回事?
技术小甜
1051 0
反向一觉
|
云安全 安全 API
云安全:云访问安全代理(CASB)系统的陷阱和潜力
反向一觉
2954 0

热门文章

最新文章

  • 1
    Flutter之禅 内存优化篇
  • 2
    《Cadence 16.6电路设计与仿真从入门到精通》——2.4 Design Entry CIS原理图图形界面 
  • 3
    记一次对网络抖动经典案例的分析
  • 4
    国外成人网站xHamster大量用户信息黑市变卖,部分账号涉及英美政府官员
  • 5
    用户密码以BCrypt加密的方式来防范被破解
  • 6
    带你理清CPU,cache和存储器之间的逻辑运作
  • 7
    Git设置代理服务器
  • 8
    【DSW Gallery】PAI-DSW开通及授权
  • 9
    吐血整理:机器学习的30个基本概念,都在这里了(手绘图解)
  • 10
    MOSS站点的迁移(备份还原)
  • 1
    设计模式之 5 大创建型模式,万字长文深剖 ,近 30 张图解!
    49
  • 2
    《C++新特性:为多线程数据竞争检测与预防保驾护航》
    41
  • 3
    Kotlin - 区间与数组
    41
  • 4
    Kotlin - 参数与异常
    39
  • 5
    Kotlin - 运算符与中缀表达式
    34
  • 6
    Kotlin - 函数与Lambda表达式
    23
  • 7
    Kotlin - 分支与循环
    19
  • 8
    天气预报1天-中国气象局-地址查询版免费API接口教程
    20
  • 9
    《C++智能合约与区块链底层交互全解析:构建坚实的去中心化应用桥梁》
    19

    • 相关课程

    更多
  • 软件用户使用服务及供应商进阶管理
  • 软件供应商发布服务实操
  • 互联网安全-移动APP漏洞风险与解决方案
  • 软件供应商进阶管理实操
  • 云安全基础课 - 访问控制概述
  • 劫持发现、定位以及解决的最佳实践

    • 相关电子书

    更多
  • 基于密码技术的 云数据全生命周期保护
  • 自主管理身份:分布式数字身份和可验证凭证
  • 传统企业的“+互联网”-API服务在京东方的实践

    • 相关实验场景

    更多
  • 搭建IoT小程序开发环境,创建一个应用
  • 物联网设备安全:实时检测7类安全风险(Agentless)
    • 下一篇
    阿里云OSS设置跨域访问