CN112632605A - 一种防止越权访问的方法、装置、计算机设备及存储介质 - Google Patents
一种防止越权访问的方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN112632605A CN112632605A CN202011528266.5A CN202011528266A CN112632605A CN 112632605 A CN112632605 A CN 112632605A CN 202011528266 A CN202011528266 A CN 202011528266A CN 112632605 A CN112632605 A CN 112632605A
- Authority
- CN
- China
- Prior art keywords
- user
- access
- authority
- session
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及信息安全技术,揭露了一种防止越权访问的方法、装置、计算机设备及存储介质,包括通过预设的拦截器拦截用户访问请求;将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限;若拥有所述用户权限,则放行所述用户请求并接收入参,所述入参包括申请号;验证所述用户是否拥有访问所述入参中申请号对应数据的权限;当验证通过时,调出所述申请号对应的数据。本申请还涉及区块链技术,各用户对应的角色权限数据存储于区块链中。本申请通过对访问请求进行权限校验和数据校验两次校验,有效防止越权访问,提高了网络安全;并且将Session提入缓存中,能实现权限的快速校对。
Description
技术领域
本申请涉及信息安全技术领域,尤其涉及一种防止越权访问的方法、装置、计算机设备及存储介质。
背景技术
随着互联网应用的越来越广泛,互联网安全问题成了人们日益关注的问题。在现有的多种威胁网络安全的攻击方法中,跨站请求伪造(CSRF)攻击是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。攻击者只要借助少许的社会工程诡计,例如通过电子邮件或者是聊天软件发送的链接,攻击者就能迫使一个Web应用程序的用户去执行攻击者选择的操作。在现有技术中,其方案仅仅在菜单、按钮上做了权限控制,导致恶意用户只要猜测其他管理页面的URL或者敏感的参数信息,就可以访问或控制其他角色拥有的数据或页面。因此,如何有效拦截恶意访问请求,提高网络安全成为了亟待解决的问题。
发明内容
本申请提供了一种防止越权访问的方法、装置、计算机设备及存储介质,以解决现有技术中越权访问数据的问题。
为解决上述问题,本申请提供了一种防止越权访问的方法,包括:
通过预设的拦截器拦截用户访问请求;
将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限;
若拥有所述用户权限,则放行所述用户请求并接收入参,所述入参包括申请号;
验证所述用户是否拥有访问所述入参中申请号对应数据的权限;
当验证通过时,调出所述申请号对应的数据。
进一步的,所述通过预设的拦截器拦截用户访问请求之前,还包括:
利用SpringMVC构架建立所述拦截器,并将所述拦截器进行部署,以拦截和分发所述用户访问请求。
进一步的,在所述将用户对应的Session从数据库提入缓存中之前,还包括:
将Cookie的Secure和HttpOnly属性都设置为true。
进一步的,所述将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限包括:
接收用户登录信息;
判断所述用户登录信息是否正确;
若用户登录信息正确,则将用户对应的Session从数据库提入缓存中;
查询所述用户访问请求的URL对应的用户权限;
从缓存中调用所述Session中的角色列表,将所述用户权限与所述Session中的角色权限进行比对;
若比对成功,则确定所述用户拥有所述用户访问请求对应的用户权限。
再进一步的,在所述查询所述用户访问请求的URL对应的用户权限之前,还包括:
校验所述用户访问请求的URL和HTTP中的referer中记录的源地址是否一致;
若不一致,则不响应所述用户访问请求。
再进一步的,在所述接收用户登录信息之前,还包括:
接收各用户对应的所述角色权限;
并将各所述用户访问请求的URL与所述用户权限建立对应关系。
进一步的,所述验证所述用户是否拥有访问所述入参中申请号对应数据的权限包括:
获取所述申请号对应的第一部门组织机构和所述用户对应的第二部门组织机构;
验证所述申请号对应的第一部门组织机构是否所属于或对应于所述用户对应的第二部门组织机构。
为了解决上述问题,本申请还提供一直防止越权访问的装置,所述装置包括:
拦截模块,用于通过预设的拦截器拦截用户访问请求;
判断模块,用于将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限;
接收模块,用于若拥有所述用户权限,则放行所述用户请求并接收入参,所述入参包括申请号;
验证模块,用于验证所述用户是否拥有访问所述入参中申请号对应数据的权限;
输出模块,用于当验证通过时,调出所述申请号对应的数据。
为了解决上述问题,本申请还提供一种计算机设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上述所述的一种防止越权访问的方法。
为了解决上述问题,本申请还提供一种非易失性的计算机可读存储介质,所述计算机可读存储介质上存储有计算机可读指令,所述计算机可读指令被处理器执行时实现如上述所述的一种防止越权访问的方法。
根据本申请实施例提供的一种防止越权访问的方法、装置、计算机设备及存储介质,与现有技术相比至少具有以下有益效果:
通过预设的拦截器拦截用户访问请求,来拦截和分发所述用户访问请求;将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限;若拥有所述用户权限,则放行所述用户请求并接收入参,所述入参包括申请号;验证所述用户是否拥有访问所述入参中申请号对应数据的权限;当验证通过时,调出所述申请号对应的数据。通过对访问请求进行权限校验和数据校验两次校验,有效防止越权访问,提高了网络安全;并且将Session提入缓存中,能实现权限的快速校对。
附图说明
为了更清楚地说明本申请中的方案,下面将对本申请实施例描述中所需要使用的附图做一个简单介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一实施例提供的一种防止越权访问的方法的流程示意图;
图2为本申请一实施例提供的部分整体组织架构图;
图3为本申请一实施例提供的防止越权访问的装置的模块示意图;
图4为本申请一实施例的计算机设备的结构示意图;
图5是本申请可以应用于其中的示例性系统架构图。
具体实施方式
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同;本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请;本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。本申请的说明书和权利要求书或上述附图中的术语“第一”“第二”等是用于区别不同对象,而不是用于描述特定顺序。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是是相同的实施例,也不是与其它实施例相互排斥的独立的或备选的实施例。本领域技术人员显式地或隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
本申请提供一种防止越权访问方法。参照图1所示,为本申请一实施例提供的一种防止越权访问的方法的流程示意图。
在本实施例中,防止越权访问的方法包括:
S1、通过预设的拦截器拦截用户访问请求;
进一步的,所述通过预设的拦截器拦截用户访问请求之前,还包括:
利用SpringMVC构架建立所述拦截器,并将所述拦截器进行部署,以拦截和分发所述用户访问请求。
具体的,拦截器部署到服务器端,对每一个请求都经过拦截器,即通过调度Servlet进行拦截请求,并找到相应的Controller进行处理,将进行例如分发或解析等操作,若解析到请求不是跳向预定位置的,将拦截该请求。
所述预定位置即为本网站所包含的地址,例如本网站所包含的一个地址为https://zhuanlan.zhihu.com/p/202631979,在https://zhuanlan.zhihu.com地址范围内都属于预定位置,若不是属于这个地址范围,例如在https://www.baidu.com/?tn=98010089_dg&ch=17网页则不属于预定位置,将直接拦截。
SpringMVC是一种基于Java实现了Web MVC设计模式的请求驱动类型的轻量级Web框架,即使用了MVC架构模式的思想,将Web层进行职责解耦,基于请求驱动指的就是使用请求-响应模型。
所述用户访问请求包括页面访问请求等。
使用SpringMVC构建建立拦截器,能很好的实现对访问请求的拦截和分发。
在本实施例中,防止越权访问方法运行于其上的电子设备(例如图1所示的服务器)可以通过有线连接方式或者无线连接方式拦截用户访问请求。需要指出的是,上述无线连接方式可以包括但不限于3G/4G连接、WiFi连接、蓝牙连接、WiMAX连接、Zigbee连接、UWB(ultra wideband)连接、以及其他现在已知或将来开发的无线连接方式。
S2、将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限;
Session是一种记录客户状态的机制,通过检查“客户明细表”来确认客户身份。通过将Session提入缓存中便于在校验用户角色权限时,能够快速比对。
角色权限即相关人员在UM平台上对每一有关用户预先设定的权限。
在传统的校验中,每次获取用户访问请求都从数据库中调取对应的Session来进行校验,步骤复杂,而将Session直接放入缓冲中,当需要进行校验时直接调取就行,提高了校验速度。
进一步的,在所述将用户对应的Session从数据库提入缓存中之前,还包括:
将Cookie的Secure和HttpOnly属性都设置为true。
具体的,当Cookie属性中的Secure设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接中被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到Cookie的具体内容。
在Cookie中设置了HttpOnly属性为true,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞。
Secure属性是防止信息在触底的过程中被监听捕获后信息泄露,HttpOnly属性的目的是防止程序获取Cookie后进行攻击。即防止Cookie被篡改。
通过设置Cookie属性以防止Cookie被篡改。
进一步的,所述将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限包括:
接收用户登录信息;
判断所述用户登录信息是否正确;
若用户登录信息正确,则将用户对应的Session从数据库提入缓存中;
查询所述用户访问请求的URL对应的用户权限;
从缓存中调用所述Session中的角色列表,将所述用户权限与所述Session中的角色权限进行比对;
若比对成功,则确定所述用户拥有所述用户访问请求对应的用户权限。
具体的,获取用户的登录信息,若获取到所述用户登录信息后,在确认用户登录信息可登录后,服务器将用户对应的Session从数据库中提入缓存中,以便后续利用,Session包含有用户及其对应的角色权限。
所述登录信息包括账号和密码;
本申请通过UM平台,配置具体角色权限,并配置各用户权限与URL的对应关系。当所述URL对应的用户权限与session中UserInfoDTO的角色列表进行比对,比对后,若URL对应的用户权限存在即可以访问相应页面。
在接收并确认用户登录信息后,通过将Session提入缓存中便于在校验用户访问权限时,能够快速与之比对,并且进行权限校验保证了数据安全。
再进一步的,在所述查询所述用户访问请求的URL对应的用户权限之前,还包括:
校验所述用户访问请求的URL和HTTP中的referer中记录的源地址是否一致;
若不一致,则不响应所述用户访问请求;
若一致,则进行查询所述用户访问请求的URL对应的用户权限步骤。
具体的,Referer是Http请求header(报文头)的一部分,当浏览器(或模拟浏览器行为)向Web服务发送请求时,报文头信息里有包含Referer。例如在www.google.com里有一个www.baidu.com链接,那么点击这个www.baidu.com,它的header信息里就有:Referer=http://www.google.com表明你是从哪里来的。
通过校验用户访问请求的URL中记录的地址与Http中Referer记录的地址是否一致,若一致则允许访问服务器,反之,则不允许,控制不允许其他非法伪造请求跨站访问服务器。
再进一步的,在所述接收用户登录信息之前,还包括:
接收各用户对应的所述角色权限;
并将各所述用户访问请求的URL与所述用户权限建立对应关系。
具体的,通过接收由工作人员在UM平台预先设定的用户及其对应的角色权限,不同的角色权限可以查看不同的菜单功能;通过将URL和用户权限建立对应关系。通过该对应关系,将用户权限与Session中的角色权限来比对。
例如工作人员配置了甲乙两人的角色权限,甲为1级权限,乙为2级权限,对应的甲可以访问1级菜单功能,而乙则可以同时访问1和2级菜单功能;并且配置好各页面的URL与上述用户权限建立对应关系,例如在一页面为2级菜单功能下的页面,即用户权限为2级,将用户权限为2级与该页面建立对应关系,所以只有2级和2级以上角色权限的用户才能访问该2级页面。
接收由工作人员预先配置好角色权限,并将各所述用户访问请求对应页面的URL与所述用户权限的建立对应关系,以利于判断用户是否有访问该页面的权限。
S3、若拥有所述用户权限,则放行所述用户请求并接收入参,所述入参包括申请号;
具体的,当所述用户具有访问当前页面的访问权限时,用户进入相关页面并输入入参,将接收由所述用户输入的入参,所述入参包括申请号,所述申请号为数据对应的编号,例如保险单的单号等。
S4、验证所述用户是否拥有访问所述入参中申请号对应数据的权限;
进一步的,所述验证所述用户是否拥有访问所述入参中申请号对应数据的权限包括:
获取所述申请号对应的第一部门组织机构和所述用户对应的第二部门组织机构;
验证所述申请号对应的第一部门组织机构是否所属于或对应于所述用户对应的第二部门组织机构。
具体的,工作人员有配置整体组织架构,对每个用户和申请号对应的内容设定有对应的部门组织机构,在查询数据的时候,通过对用户和申请号的部门组织机构查询,获取到申请号对应的第一部门组织机构和用户对应第二部门组织机构,进而判断用户是否有权限查看申请号对应的数据,例如用户是广东省机构的,则可以查询广州或者东莞等广东城市的进件数据;控制伪造的请求不可以任意查看数据;上述即进行数据校验。所属于即表示第一部门组织机构为第二部门组织机构的下位机构;对应于即表示第一部门组织机构与第二部门组织机构为同一机构。
如图2所示,该图为整体组织架构图的一部分,工作人员根据该树状图,该图并不完整,完整的图列举了我国各省市及直辖市,以及各省市及直辖市下的各区镇等,将用户和申请号挂在不同节点上,即不同的部门组织机构上,例如将用户对应的部门组织机构挂在中国节点上,那他将可以查看所有申请号对应的数据,若将用户对应的部门组织机构挂在四川省上,其可以调取四川省内申请号所对应的数据。同时还将申请号配置到该图上对应的部门组织机构。只有在所述申请号对应的第一部门组织机构是否所属于或对应于所述用户对应的第二部门组织机构时,才可调取所述申请号对应的数据。
当用户对应的部门组织机构为深圳市机构,而申请号对应的部门组织机构为珠海市机构时,所述验证将不通过;而当用户对应的部门组织机构为广东省机构,而申请号对应的部门组织机构为珠海市机构时,所述验证将通过;当用户对应的部门组织机构为深圳市机构,而申请号对应的部门组织机构也为深圳市机构时,所述验证将通过;
通过该数据校验,进一步校验用户有无权限调取数据,进一步保障了数据的安全。
S5、当验证通过时,调出所述申请号对应的数据。
具体的,当上述验证通过时,将调出所述申请号对应的数据;例如申请号对应的保险单数据等;
当上述验证不通过时,将不会调出相应的数据。
需要强调的是,为了进一步保证数据的私密性和安全性,所述各用户对应的角色权限所有数据还可以存储于一区块链的节点中。
本申请所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
通过预设的拦截器拦截用户访问请求,来拦截和分发所述用户访问请求;将将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限;若拥有所述用户权限,则放行所述用户请求并接收入参,所述入参包括申请号;验证所述用户是否拥有访问所述入参中申请号对应数据的权限;当验证通过时,调出所述申请号对应的数据。通过对访问请求进行权限校验和数据校验两次校验,有效防止越权访问,提高了网络安全,并且将Session提入缓存中,能实现权限的快速校对。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
如图3所示,是本申请一种防止越权访问装置的功能模块图。
本申请所述一种防止越权访问的装置100可以安装于电子设备中。根据实现的功能,所述一种防止越权访问装置100可以包括拦截模块101、判断模块102、接收模块103、验证模块104和输出模块105。本发所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
拦截模块101,用于通过预设的拦截器拦截用户访问请求;
进一步的,所述防止越权访问装置100还包括拦截器构建模块;
所述拦截器构建模块利用SpringMVC构架建立所述拦截器,并将所述拦截器进行部署,以拦截和分发所述用户访问请求。
具体的,拦截器部署到服务器端,所述拦截器构建模块通过对每一个请求都经过拦截器,即通过调度Servlet进行拦截请求,并找到相应的Controller进行处理,将进行例如分发或解析等操作,若解析到请求不是跳向预定位置的,将拦截该请求。
通过拦截器构建模块使用SpringMVC构建建立拦截器,能很好的实现对访问请求的拦截和分发。
判断模块102,用于将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限;
进一步的,所述防止越权访问装置100还包括属性设置模块;
所述属性设置模块用于将Cookie的Secure和HttpOnly属性都设置为true。
具体的,通过属性设置模块将Cookie属性中的Secure设置为true以及Cookie中设置了HttpOnly属性为true,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息。
属性设置模块通过设置Cookie属性以防止Cookie被篡改。
进一步的,所述判断模块102包括信息接收子模块、信息判断子模块、提取子模块、查询子模块、比对子模块和确定子模块;
信息接收子模块用于接收用户登录信息;
信息判断子模块用于判断所述用户登录信息是否正确;
提取子模块用于若用户登录信息正确,则将用户对应的Session从数据库提入缓存中;
查询子模块用于查询所述用户访问请求的URL对应的用户权限;
比对子模块用于从缓存中调用所述Session中的角色列表,将所述用户权限与所述Session中的角色权限进行比对;
确定子模块用于若比对成功,则确定所述用户拥有所述用户访问请求对应的用户权限。
通过信息接收子模块、信息判断子模块、提取子模块、查询子模块、比对子模块和确定子模块的配合,能够快速实现权限的校验。
再进一步的,所述判断模块102还包括全量校验子模块;
所述全量校验子模块用于校验所述用户访问请求的URL和HTTP中的referer中记录的源地址是否一致;
若不一致,则不响应所述用户访问请求;
若一致,则进行查询所述用户访问请求的URL对应的用户权限步骤。
全量校验子模块通过校验用户访问请求的URL中记录的地址与Http中Referer记录的地址是否一致,若一致则允许访问服务器,反之,则不允许,控制不允许其他非法伪造请求跨站访问服务器。
再进一步的,所述判断模块102还包括权限接收子模块和对应关系建立子模块;
权限接收子模块用于接收各用户对应的所述角色权限;
对应关系建立子模块用于将各所述用户访问请求的URL与所述用户权限的建立对应关系。
通过权限接收子模块和对应关系建立子模块的配合接收由工作人员预先配置好角色权限,并将各页面对应的URL与所述用户权限的建立对应关系,以利于判断用户是否有访问该页面的权限。
接收模块103,用于若拥有所述用户权限,则放行所述用户请求并接收入参,所述入参包括申请号;
具体的,接收模块103用于当所述用户具有访问当前页面的访问权限时,用户进入相关页面并输入入参,将接收由所述用户输入的入参,所述入参包括申请号,所述申请号为数据对应的编号,例如保险单的单号。
验证模块104,用于验证所述用户是否拥有访问所述入参中申请号对应数据的权限;
进一步的,验证模块104包括部门组织机构获取子模块和部门组织机构验证子模块;
部门组织机构获取子模块用于获取所述申请号对应的第一部门组织机构和所述用户对应的第二部门组织机构;
部门组织机构验证子模块用于验证所述申请号对应的第一部门组织机构是否所属于或对应于所述用户对应的第二部门组织机构。
通过部门组织机构获取子模块和部门组织机构验证子模块的配合,进一步校验用户有无权限调取数据,进一步保障了数据的安全。
输出模块105,用于当验证通过时,调出所述申请号对应的数据。
具体的,输出模块用于当上述验证通过时,将调出所述申请号对应的数据;例如申请号对应的保险单数据等;
当上述验证不通过时,将不会调出相应的数据。
需要强调的是,为了进一步保证数据的私密性和安全性,所述各用户对应的角色权限所有数据还可以存储于一区块链的节点中。
通过采用上述装置,所述防止越权访问的装置100通过拦截模块101、判断模块102、接收模块103、验证模块104和输出模块105的配合使用,对访问请求进行权限校验和数据校验两次校验,有效防止越权访问,提高了网络安全,并且将Session提入缓存中,能实现权限的快速校对。
为解决上述技术问题,本申请实施例还提供计算机设备。具体请参阅图4,图4为本实施例计算机设备基本结构框图。
所述计算机设备4包括通过系统总线相互通信连接存储器41、处理器42、网络接口43。需要指出的是,图中仅示出了具有组件41-43的计算机设备4,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。其中,本技术领域技术人员可以理解,这里的计算机设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(ApplicationSpecific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable GateArray,FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
所述存储器41至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器41可以是所述计算机设备4的内部存储单元,例如该计算机设备4的硬盘或内存。在另一些实施例中,所述存储器41也可以是所述计算机设备4的外部存储设备,例如该计算机设备4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(FlashCard)等。当然,所述存储器41还可以既包括所述计算机设备4的内部存储单元也包括其外部存储设备。本实施例中,所述存储器41通常用于存储安装于所述计算机设备4的操作系统和各类应用软件,例如防止越权访问的方法的计算机可读指令等。此外,所述存储器41还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器42在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器42通常用于控制所述计算机设备4的总体操作。本实施例中,所述处理器42用于运行所述存储器41中存储的计算机可读指令或者处理数据,例如运行所述防止越权访问的方法的计算机可读指令。
所述网络接口43可包括无线网络接口或有线网络接口,该网络接口43通常用于在所述计算机设备4与其他电子设备之间建立通信连接。
本实施例通过处理器执行存储在存储器的计算机可读指令时实现如上述实施例防止越权访问的方法的步骤,通过预设的拦截器拦截用户访问请求,来拦截和分发所述用户访问请求;将将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限;若拥有所述用户权限,则放行所述用户请求并接收入参,所述入参包括申请号;验证所述用户是否拥有访问所述入参中申请号对应数据的权限;当验证通过时,调出所述申请号对应的数据。通过对访问请求进行权限校验和数据校验两次校验,有效防止越权访问,提高了网络安全,并且将Session提入缓存中,能实现权限的快速校对。
本申请还提供了另一种实施方式,即提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可读指令,所述计算机可读指令可被至少一个处理器执行,以使所述至少一个处理器执行如上述的防止越权访问的方法的步骤,通过预设的拦截器拦截用户访问请求,来拦截和分发所述用户访问请求;将将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限;若拥有所述用户权限,则放行所述用户请求并接收入参,所述入参包括申请号;验证所述用户是否拥有访问所述入参中申请号对应数据的权限;当验证通过时,调出所述申请号对应的数据。通过对访问请求进行权限校验和数据校验两次校验,有效防止越权访问,提高了网络安全,并且将Session提入缓存中,能实现权限的快速校对。
如图5所示,系统架构500可以包括终端设备501、502、503,网络504和服务器505。网络504用以在终端设备501、502、503和服务器505之间提供通信链路的介质。网络504可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备501、502、503通过网络504与服务器505交互,以接收或发送消息等。终端设备501、502、503上可以安装有各种通讯客户端应用,例如网页浏览器应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备501、502、503可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving Picture ExpertsGroup Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(Moving PictureExperts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
服务器505可以是提供各种服务的服务器,例如对终端设备501、502、503上显示的页面提供支持的后台服务器。
需要说明的是,本申请实施例所提供的防止越权访问方法一般由服务器执行,相应地,防止越权访问装置一般设置于服务器中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
显然,以上所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例,附图中给出了本申请的较佳实施例,但并不限制本申请的专利范围。本申请可以以许多不同的形式来实现,相反地,提供这些实施例的目的是使对本申请的公开内容的理解更加透彻全面。尽管参照前述实施例对本申请进行了详细的说明,对于本领域的技术人员来而言,其依然可以对前述各具体实施方式所记载的技术方案进行修改,或者对其中部分技术特征进行等效替换。凡是利用本申请说明书及附图内容所做的等效结构,直接或间接运用在其他相关的技术领域,均同理在本申请专利保护范围之内。
Claims (10)
1.一种防止越权访问的方法,其特征在于,所述方法包括:
通过预设的拦截器拦截用户访问请求;
将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限;
若拥有所述用户权限,则放行所述用户请求并接收入参,所述入参包括申请号;
验证所述用户是否拥有访问所述入参中申请号对应数据的权限;
当验证通过时,调出所述申请号对应的数据。
2.根据权利要求1所述的防止越权访问的方法,其特征在于,所述通过预设的拦截器拦截用户访问请求之前,还包括:
利用SpringMVC构架建立所述拦截器,并将所述拦截器进行部署,以拦截和分发所述用户访问请求。
3.根据权利要求1所述的防止越权访问的方法,其特征在于,在所述将用户对应的Session从数据库提入缓存中之前,还包括:
将Cookie的Secure和HttpOnly属性都设置为true。
4.根据权利要求1所述的防止越权访问的方法,其特征在于,所述将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限包括:
接收用户登录信息;
判断所述用户登录信息是否正确;
若用户登录信息正确,则将用户对应的Session从数据库提入缓存中;
查询所述用户访问请求的URL对应的用户权限;
从缓存中调用所述Session中的角色列表,将所述用户权限与所述Session中的角色权限进行比对;
若比对成功,则确定所述用户拥有所述用户访问请求对应的用户权限。
5.根据权利要求4所述的防止越权访问的方法,其特征在于,在所述查询所述用户访问请求的URL对应的用户权限之前,还包括:
校验所述用户访问请求的URL和HTTP中的referer中记录的源地址是否一致;
若不一致,则不响应所述用户访问请求。
6.根据权利要求4所述的防止越权访问的方法,其特征在于,在所述接收用户登录信息之前,还包括:
接收各用户对应的所述角色权限;
并将各所述用户访问请求的URL与所述用户权限建立对应关系。
7.根据权利要求1所述的防止越权访问的方法,其特征在于,所述验证所述用户是否拥有访问所述入参中申请号对应数据的权限包括:
获取所述申请号对应的第一部门组织机构和所述用户对应的第二部门组织机构;
验证所述申请号对应的第一部门组织机构是否所属于或对应于所述用户对应的第二部门组织机构。
8.一种防止越权访问的装置,其特征在于,所述装置包括:
拦截模块,用于通过预设的拦截器拦截用户访问请求;
判断模块,用于将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限;
接收模块,用于若拥有所述用户权限,则放行所述用户请求并接收入参,所述入参包括申请号;
验证模块,用于验证所述用户是否拥有访问所述入参中申请号对应数据的权限;
输出模块,用于当验证通过时,调出所述申请号对应的数据。
9.一种计算机设备,其特征在于,所述计算机设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有计算机可读指令,所述处理器执行所述计算机可读指令时实现如权利要求1至7中任一所述的防止越权访问的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机可读指令,所述计算机可读指令被处理器执行时实现如权利要求1至7中任一所述的防止越权访问的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011528266.5A CN112632605A (zh) | 2020-12-22 | 2020-12-22 | 一种防止越权访问的方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011528266.5A CN112632605A (zh) | 2020-12-22 | 2020-12-22 | 一种防止越权访问的方法、装置、计算机设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112632605A true CN112632605A (zh) | 2021-04-09 |
Family
ID=75321100
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011528266.5A Pending CN112632605A (zh) | 2020-12-22 | 2020-12-22 | 一种防止越权访问的方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112632605A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992406A (zh) * | 2021-10-27 | 2022-01-28 | 杭州云象网络技术有限公司 | 一种用于联盟链跨链的权限访问控制方法 |
| CN114070583A (zh) * | 2021-10-12 | 2022-02-18 | 鸬鹚科技(深圳)有限公司 | 信息访问控制方法、装置、计算机设备及介质 |
| CN115102770A (zh) * | 2022-06-24 | 2022-09-23 | 平安普惠企业管理有限公司 | 基于用户权限的资源访问方法、装置、设备及存储介质 |
-
2020
- 2020-12-22 CN CN202011528266.5A patent/CN112632605A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114070583A (zh) * | 2021-10-12 | 2022-02-18 | 鸬鹚科技(深圳)有限公司 | 信息访问控制方法、装置、计算机设备及介质 |
| CN114070583B (zh) * | 2021-10-12 | 2023-10-20 | 鸬鹚科技(深圳)有限公司 | 信息访问控制方法、装置、计算机设备及介质 |
| CN113992406A (zh) * | 2021-10-27 | 2022-01-28 | 杭州云象网络技术有限公司 | 一种用于联盟链跨链的权限访问控制方法 |
| CN115102770A (zh) * | 2022-06-24 | 2022-09-23 | 平安普惠企业管理有限公司 | 基于用户权限的资源访问方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6559694B2 (ja) | 自動sdk受容 | |
| CN112632605A (zh) | 一种防止越权访问的方法、装置、计算机设备及存储介质 | |
| US9071600B2 (en) | Phishing and online fraud prevention | |
| JP2020030866A (ja) | 機密情報処理方法、装置、及び、サーバ、ならびに、セキュリティ決定システム | |
| WO2019047513A1 (zh) | 一种互联网防攻击方法及认证服务器 | |
| CN102136049B (zh) | 一种终端应用的安全管理方法及系统 | |
| CN107276986B (zh) | 一种通过机器学习保护网站的方法、装置和系统 | |
| CN103532912A (zh) | 浏览器业务数据的处理方法和装置 | |
| Panja et al. | Cybersecurity in banking and financial sector: Security analysis of a mobile banking application | |
| Bauer et al. | Analyzing the dangers posed by Chrome extensions | |
| CN113239397A (zh) | 信息访问方法、装置、计算机设备及介质 | |
| CN111464528A (zh) | 网络安全防护方法、系统、计算设备和存储介质 | |
| CN102222292B (zh) | 一种手机支付保护方法 | |
| CN115022047B (zh) | 基于多云网关的账户登录方法、装置、计算机设备及介质 | |
| Li et al. | Pistis: Issuing trusted and authorized certificates with distributed ledger and TEE | |
| Otrok et al. | Mobile phishing attack for Android platform | |
| CN113434882A (zh) | 应用程序的通讯保护方法、装置、计算机设备及存储介质 | |
| CN112260983B (zh) | 一种身份验证方法、装置、设备及计算机可读存储介质 | |
| CN106209746B (zh) | 一种安全业务提供方法及服务器 | |
| KR20150049457A (ko) | 인증 정보 관리 방법 및 장치 | |
| CN112836186A (zh) | 一种页面控制方法及装置 | |
| Oliveira et al. | Honeypotlabsac: a virtual honeypot framework for android | |
| Mu et al. | Android mobile security–threats and protection | |
| US20150358353A1 (en) | Enhanced selective wipe for compromised devices | |
| CN112804266A (zh) | 网页数据处理方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |