假如系统中有一个删除数据的接口,这个接口正常情况下只有管理员登录到管理台才能调用到这个接口,但是有一个用户小勇,一个调皮的程序员,他猜到了这个接口的URL,然后用postman直接调用了删除接口,哦吼,数据被删了,这就是垂直越权,本来用户没有权限,但是通过某种手段向上拿到了更高的权限。
这种场景出现的原因,一方面是小勇太聪明加胆子大,另外一方面是接口没有做权限验证,所以,开发时,我们不能假定该接口只会被管理员调用,而应该做到该接口只能被管理员调用。
我给大家列三种解决方案,大家看看哪种方案最好。
第一个想到的思路就是在接口内做校验,判断当前请求的用户是不是管理员,如果不是,则拒绝请求,伪代码:
@DeleteMapping
public Result delete() {
User user = session.getUser();
if (!user.isAdmin()) {
return Result.error();
}
// 正常处理
return Result.ok();
}
这样,不管小勇多么聪明,都不能调用成功了,除非他拿到了管理员的登陆cookie~,这种方案需要改造每个接口,工作量太大,业务同事不同意,说能不能在网关层面统一做校验呢?
作为网关,是所有请求的入口,它能知道:
但是网关还需要解决:
肯定还是在网关做,不过可以这么做。
前端页面在调用接口时,在请求头设置一个签名key,这个签名的内容包括接口url、页面url、uid、其他干扰数据,签名表示哪个人在哪个页面调用了哪个接口。
签名算法保密,除非小勇跟我们前端小姐姐比较熟,不然他是不知道签名内容格式和算法的。
网关拿到请求后,取请求头中的签名key,如果请求头中没有,则拒绝该请求,如果有,则按商量好的签名算法解签,如果解签失败,也拒绝该请求,解签成功,则比对签名内容,比如判断session中的uid是不是等于签名中的uid。
这样,对于小勇来说,就算他能猜到url,就算他能拿到cookie,他还得知道签名key的内容和算法,不然他发送的请求中没有签名请求头,网关会拒绝掉该请求,或者传一个错误的签名也会被拒绝。
总之,现在小勇想要胡乱调用我们的接口变得更难了。
不过大家注意,这个签名并不是万能的,比如小勇搞定了我们前端小姐姐,那该怎么办呢?
希望得到你的点赞和分享,我是大都督周瑜,我们下次见,我的公众号:IT周瑜。