面试官:什么是垂直越权?有哪些解决方案?

什么是垂直越权?

假如系统中有一个删除数据的接口,这个接口正常情况下只有管理员登录到管理台才能调用到这个接口,但是有一个用户小勇,一个调皮的程序员,他猜到了这个接口的URL,然后用postman直接调用了删除接口,哦吼,数据被删了,这就是垂直越权,本来用户没有权限,但是通过某种手段向上拿到了更高的权限。

这种场景出现的原因,一方面是小勇太聪明加胆子大,另外一方面是接口没有做权限验证,所以,开发时,我们不能假定该接口只会 被管理员调用,而应该做到该接口只能被管理员调用。

我给大家列三种解决方案,大家看看哪种方案最好。

接口级校验

第一个想到的思路就是在接口内做校验,判断当前请求的用户是不是管理员,如果不是,则拒绝请求,伪代码:

java 复制代码
@DeleteMapping
public Result delete() {
    User user = session.getUser();
    if (!user.isAdmin()) {
        return Result.error();
    }
    // 正常处理
    return Result.ok();
}

这样,不管小勇多么聪明,都不能调用成功了,除非他拿到了管理员的登陆cookie~,这种方案需要改造每个接口,工作量太大,业务同事不同意,说能不能在网关层面统一做校验呢?

网关级校验

作为网关,是所有请求的入口,它能知道:

  1. 当前请求调用的是哪个接口,请求url
  2. 当前请求的用户是谁

但是网关还需要解决:

  1. 得判断当前请求的用户是不是管理员,或者如果把权限控制做得更细,还需要获取当前用户有哪些权限,这得查数据库,有点影响网关的性能
  2. 另外如果小勇确实拿到了管理员的cookie,把自己伪装成了管理员,网关又该如何拦截呢?

接口签名

肯定还是在网关做,不过可以这么做。

前端页面在调用接口时,在请求头设置一个签名key,这个签名的内容包括接口url、页面url、uid、其他干扰数据,签名表示哪个人在哪个页面调用了哪个接口。

签名算法保密,除非小勇跟我们前端小姐姐比较熟,不然他是不知道签名内容格式和算法的。

网关拿到请求后,取请求头中的签名key,如果请求头中没有,则拒绝该请求,如果有,则按商量好的签名算法解签,如果解签失败,也拒绝该请求,解签成功,则比对签名内容,比如判断session中的uid是不是等于签名中的uid。

这样,对于小勇来说,就算他能猜到url,就算他能拿到cookie,他还得知道签名key的内容和算法,不然他发送的请求中没有签名请求头,网关会拒绝掉该请求,或者传一个错误的签名也会被拒绝。

总之,现在小勇想要胡乱调用我们的接口变得更难了。

不过大家注意,这个签名并不是万能的,比如小勇搞定了我们前端小姐姐,那该怎么办呢?

希望得到你的点赞和分享,我是大都督周瑜,我们下次见,我的公众号:IT周瑜。

相关推荐
小k_不小39 分钟前
C++面试八股文:指针与引用的区别
c++·面试
AI人H哥会Java2 小时前
【Spring】控制反转(IoC)与依赖注入(DI)—IoC容器在系统中的位置
java·开发语言·spring boot·后端·spring
凡人的AI工具箱2 小时前
每天40分玩转Django:Django表单集
开发语言·数据库·后端·python·缓存·django
奔跑草-3 小时前
【数据库】SQL应该如何针对数据倾斜问题进行优化
数据库·后端·sql·ubuntu
中國移动丶移不动3 小时前
Java 并发编程:原子类(Atomic Classes)核心技术的深度解析
java·后端
小马爱打代码3 小时前
Tomcat整体架构分析
java·架构·tomcat
time_silence4 小时前
微服务——不熟与运维
运维·微服务·架构
-指短琴长-4 小时前
Docker之技术架构【八大架构演进之路】
docker·容器·架构
Q_19284999064 小时前
基于Spring Boot的旅游推荐系统
spring boot·后端·旅游