Java中损坏的访问控制

【问题标题】:Broken Access Control in JavaJava中损坏的访问控制
【发布时间】:2021-10-23 16:48:53
【问题描述】:

我正在尝试更新以下代码示例 (Java) 以防止损坏的访问控制,我在理论上了解损坏的访问控制。但是我被困在我需要围绕用户名进行的令人兴奋的代码更改上,以便用户只能看到允许看到的内容。

任何帮助都会很棒

import java.sql.*;
import java.util.*;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.Claims;

class LoggedOutException extends Exception {
    public LoggedOutException(String message) {
        super(message);
    }
}

public class External{

    public static HashMap<String, String> accountLookup(String accountId, String jwt) throws Exception{

        if (jwt == null) { ;
            throw new LoggedOutException("User is not logged in");
        } else {
            Claims claims = Jwts.parser()
                    .setSigningKey("Key".getBytes("UTF-8"))
                    .parseClaimsJws(jwt).getBody();

            if ((claims.get("logged_in")).toString().equals("true")) {

                Class.forName("com.mysql.jdbc.Driver");
                Connection con = DriverManager.getConnection("jdbc:mysql://mysql:3306/BankApp?useSSL=false", "root", "letmein");

                Statement stmt = con.createStatement();
                ResultSet rs=stmt.executeQuery("SELECT username FROM tbl_user WHERE id = '" + accountId + "';");

                if (!rs.next()) {
                    con.close();
                    throw new Exception("Account not found");
                }

                String user = new String();
                user = rs.getString("username");
                rs=stmt.executeQuery("SELECT balance, dob FROM tbl_account WHERE user_id = '" + accountId + "';");
                HashMap<String, String> results = new HashMap<String, String>();

                if(rs.next()){
                    results.put("balance", rs.getString("balance").toString());
                    results.put("dob", rs.getString("dob").toString());
                    results.put("username", user);

                }
                con.close();

                return results;
            } else {
                throw new LoggedOutException("User is not logged in");
            }
        }
    }
}

【问题讨论】:

  • 可能想要编辑该密钥。

标签: java jwt access-control


【解决方案1】:

您可以做的是将自定义声明添加到您的令牌有效负载中,您以后可以使用它来验证用户是否有权执行该操作。

在这里,我已将“用户名”添加到令牌有效负载中。

Jwts.builder()
    .claim("username", username)
    .claim("role", role)
    .setIssuedAt(Date.from(Instant.ofEpochSecond(1629736517L)))
    .setExpiration(Date.from(Instant.ofEpochSecond(1661272517L)))
    .signWith(
        SignatureAlgorithm.HS256,
        "Simple Secret"
     )
    .compact();

然后你可以在你的 accountLookup 方法中访问它,

Claims claims = Jwts.parser()
                .setSigningKey("Simple Secret")
                .parseClaimsJws(token).getBody();

String username = (String) claims.get("username");

使用用户名验证 accountId。

【讨论】:

    【解决方案2】:

    在这个例子中,JWT 决定我是否有访问权限,但没有验证 accountId 确实是我的。

    您需要改为使用 JWT 来决定从数据库中获取什么,或者验证我传递给您的 accountId 确实是我的,或者我应该可以访问的。

    【讨论】:

    • 谢谢,我明白我需要更改,我的主要问题是如何更改代码我不确定在哪里进行更改等。
    • 在这里您可以做的是在 JWT 令牌本身中包含一些用户详细信息,例如“用户名”。因此,当您在请求中收到“帐号”时,首先您可以确保该“帐号”属于同一用户..
    • 嗨@ray你能提供一个模拟例子吗?
    • @ClarkPamler93 在下面找到我的答案
    猜你喜欢
    • 1970-01-01
    • 2013-07-05
    • 1970-01-01
    • 2020-09-26
    • 2015-08-05
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2014-06-20
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode