一、簡介
任何一個軟體系統,都不可避免的會碰到【資訊安全】這個詞,尤其是對于剛入行的新手,比如我,我剛入行的時候,領導讓我做一個資料報表匯出功能,我就按照他的意思去做,至于誰有權限操作匯出,匯出的資料包含敏感資訊應該怎么處理,后端介面是不是做了權限控制防止惡意抓取,這些問題我基本上不關心,我只想一心一意盡快實作需求,然后順利完成任務交付,
實際上,隨著作業閱歷的增加,你會越來越能感覺到,實作業務方提的需求,只是完成了軟體系統研發中的【能用】要求;服務是否【可靠】可能需要從架構層和運維方面去著手解決;至于是否【安全】、更多的需要從【資訊安全】這個角度來思考,尤其是當我們的軟體系統面對外界的惡意干擾和攻擊時,是否依然能保障用戶正常使用,對于大公司,這個可能是頭等大事,因為可能一個很小很小的漏洞,一不小心可能會給公司帶來幾千萬的損失!
最常見的就是電商系統和支付系統,尤其是需求旺季的時候,經常有黑客專門攻擊這些電商系統,導致大量服務宕機,影響用戶正常下單,
像這樣的攻擊案例每天都有,有的公司甚至直接向黑客氣妥,給錢消災!
但是這種做法肯定不是長久之計,最重要的還是主動提升系統的【安全】防御系數,
由于資訊安全所涉及的要求內容眾多,今天,我在這里僅僅向大家介紹其中關于【審計日志】的要求和具體應用,后續也會向大家介紹其他的要求,
【審計日志】,簡單的說就是系統需要記錄誰,在什么時間,對什么資料,做了什么樣的更改!這個日志資料是極其珍貴的,后面如果因業務操作上出了問題,可以很方便進行操作回查,
同時,任何一個 IT 系統,如果要過審,這項任務基本上也是必審項!
好了,需求我們清楚了,具體應用看下面!
二、實踐
實作【審計日志】這個需求,我們有一個很好的技術解決方案,就是使用 Spring 的切面編程,創建一個代理類,利用afterReturning和afterThrowing方法來實作日志的記錄,
具體實作步驟如下
- 先創建審計日志表
CREATE TABLE `tb_audit_log` (
`id` bigint(20) NOT NULL COMMENT '審計日志,主鍵ID',
`table_name` varchar(500) DEFAULT '' COMMENT '操作的表名,多個用逗號隔開',
`operate_desc` varchar(200) DEFAULT '' COMMENT '操作描述',
`request_param` varchar(200) DEFAULT '' COMMENT '請求引數',
`result` int(10) COMMENT '執行結果,0:成功,1:失敗',
`ex_msg` varchar(200) DEFAULT '' COMMENT '例外資訊',
`user_agent` text COLLATE utf8mb4_unicode_ci COMMENT '用戶代理資訊',
`ip_address` varchar(32) NOT NULL DEFAULT '' COMMENT '操作時設備IP',
`ip_address_name` varchar(32) DEFAULT '' COMMENT '操作時設備IP所在地址',
`operate_time` datetime NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT '操作時間',
`operate_user_id` varchar(32) DEFAULT '' COMMENT '操作人ID',
`operate_user_name` varchar(32) DEFAULT '' COMMENT '操作人',
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci COMMENT='審計日志表';
- 然后撰寫一個注解類
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.TYPE,ElementType.METHOD})
@Documented
public @interface SystemAuditLog {
/**
* 操作了的表名
* @return
*/
String tableName() default "";
/**
* 日志描述
* @return
*/
String description() default "";
}
- 接著撰寫一個代理類
@Component
@Aspect
public class SystemAuditLogAspect {
@Autowired
private SystemAuditLogService systemAuditLogService;
/**
* 定義切入點,切入所有標注此注解的類和方法
*/
@Pointcut("@within(com.example.demo.core.annotation.SystemAuditLog)|| @annotation(com.example.demo.core.annotation.SystemAuditLog)")
public void methodAspect() {
}
/**
* 方法呼叫前攔截
*/
@Before("methodAspect()")
public void before(){
System.out.println("SystemAuditLog代理 -> 呼叫方法執行之前......");
}
/**
* 方法呼叫后攔截
*/
@After("methodAspect()")
public void after(){
System.out.println("SystemAuditLog代理 -> 呼叫方法執行之后......");
}
/**
* 呼叫方法結束攔截
*/
@AfterReturning(value = "https://www.cnblogs.com/dxflqm/p/methodAspect()")
public void afterReturning(JoinPoint joinPoint) throws Exception {
System.out.println("SystemAuditLog代理 -> 呼叫方法結束攔截......");
//封裝資料
AuditLog entity = warpAuditLog(joinPoint);
entity.setResult(0);
//插入到資料庫
systemAuditLogService.add(entity);
}
/**
* 拋出例外攔截
*/
@AfterThrowing(value="https://www.cnblogs.com/dxflqm/p/methodAspect()", throwing="ex")
public void afterThrowing(JoinPoint joinPoint, Exception ex) throws Exception {
System.out.println("SystemAuditLog代理 -> 拋出例外攔截......");
//封裝資料
AuditLog entity = warpAuditLog(joinPoint);
entity.setResult(1);
//封裝錯誤資訊
entity.setExMsg(ex.getMessage());
//插入到資料庫
systemAuditLogService.add(entity);
}
/**
* 封裝插入物體
* @param joinPoint
* @return
* @throws Exception
*/
private AuditLog warpAuditLog(JoinPoint joinPoint) throws Exception {
//獲取請求背景關系
HttpServletRequest request = getHttpServletRequest();
//獲取注解上的引數值
SystemAuditLog systemAuditLog = getServiceMethodDescription(joinPoint);
//獲取請求引數
Object requestObj = getServiceMethodParams(joinPoint);
//封裝資料
AuditLog auditLog = new AuditLog();
auditLog.setId(SnowflakeIdWorker.getInstance().nextId());
//從請求背景關系物件獲取相應的資料
if(Objects.nonNull(request)){
auditLog.setUserAgent(request.getHeader("User-Agent"));
//獲取登錄時的ip地址
auditLog.setIpAddress(IpAddressUtil.getIpAddress(request));
//呼叫外部介面,獲取IP所在地
auditLog.setIpAddressName(IpAddressUtil.getLoginAddress(auditLog.getIpAddress()));
}
//封裝操作的表和描述
if(Objects.nonNull(systemAuditLog)){
auditLog.setTableName(systemAuditLog.tableName());
auditLog.setOperateDesc(systemAuditLog.description());
}
//封裝請求引數
auditLog.setRequestParam(JSON.toJSONString(requestObj));
//封裝請求人
if(Objects.nonNull(requestObj) && requestObj instanceof BaseRequest){
auditLog.setOperateUserId(((BaseRequest) requestObj).getLoginUserId());
auditLog.setOperateUserName(((BaseRequest) requestObj).getLoginUserName());
}
auditLog.setOperateTime(new Date());
return auditLog;
}
/**
* 獲取當前的request
* 這里如果報空指標例外是因為單獨使用spring獲取request
* 需要在組態檔里添加監聽
*
* 如果是spring專案,通過下面方式注入
* <listener>
* <listener-class>
* org.springframework.web.context.request.RequestContextListener
* </listener-class>
* </listener>
*
* 如果是springboot專案,在配置類里面,通過下面方式注入
* @Bean
* public RequestContextListener requestContextListener(){
* return new RequestContextListener();
* }
* @return
*/
private HttpServletRequest getHttpServletRequest(){
RequestAttributes ra = RequestContextHolder.getRequestAttributes();
ServletRequestAttributes sra = (ServletRequestAttributes)ra;
HttpServletRequest request = sra.getRequest();
return request;
}
/**
* 獲取請求物件
* @param joinPoint
* @return
* @throws Exception
*/
private Object getServiceMethodParams(JoinPoint joinPoint) {
Object[] arguments = joinPoint.getArgs();
if(Objects.nonNull(arguments) && arguments.length > 0){
return arguments[0];
}
return null;
}
/**
* 獲取自定義注解里的引數
* @param joinPoint
* @return 回傳注解里面的日志描述
* @throws Exception
*/
private SystemAuditLog getServiceMethodDescription(JoinPoint joinPoint) throws Exception {
//類名
String targetName = joinPoint.getTarget().getClass().getName();
//方法名
String methodName = joinPoint.getSignature().getName();
//引數
Object[] arguments = joinPoint.getArgs();
//通過反射獲取示例物件
Class targetClass = Class.forName(targetName);
//通過實體物件方法陣列
Method[] methods = targetClass.getMethods();
for(Method method : methods) {
//判斷方法名是不是一樣
if(method.getName().equals(methodName)) {
//對比引數陣列的長度
Class[] clazzs = method.getParameterTypes();
if(clazzs.length == arguments.length) {
//獲取注解里的日志資訊
return method.getAnnotation(SystemAuditLog.class);
}
}
}
return null;
}
}
- 最后,只需要在對應的介面或者方法上添加審計日志注解即可
@RestController
@RequestMapping("api")
public class LoginController {
/**
* 用戶登錄,添加審計日志注解
* @param request
*/
@SystemAuditLog(tableName = "tb_user", description = "用戶登錄")
@PostMapping("login")
public void login(UserLoginDTO request){
//登錄邏輯處理
}
}
- 相關的物體類
@Data
public class AuditLog {
/**
* 審計日志,主鍵ID
*/
private Long id;
/**
* 操作的表名,多個用逗號隔開
*/
private String tableName;
/**
* 操作描述
*/
private String operateDesc;
/**
* 請求引數
*/
private String requestParam;
/**
* 執行結果,0:成功,1:失敗
*/
private Integer result;
/**
* 例外資訊
*/
private String exMsg;
/**
* 請求代理資訊
*/
private String userAgent;
/**
* 操作時設備IP
*/
private String ipAddress;
/**
* 操作時設備IP所在地址
*/
private String ipAddressName;
/**
* 操作時間
*/
private Date operateTime;
/**
* 操作人ID
*/
private String operateUserId;
/**
* 操作人
*/
private String operateUserName;
}
public class BaseRequest implements Serializable {
/**
* 請求token
*/
private String token;
/**
* 登錄人ID
*/
private String loginUserId;
/**
* 登錄人姓名
*/
private String loginUserName;
public String getToken() {
return token;
}
public void setToken(String token) {
this.token = token;
}
public String getLoginUserId() {
return loginUserId;
}
public void setLoginUserId(String loginUserId) {
this.loginUserId = loginUserId;
}
public String getLoginUserName() {
return loginUserName;
}
public void setLoginUserName(String loginUserName) {
this.loginUserName = loginUserName;
}
}
@Data
public class UserLoginDTO extends BaseRequest {
/**
* 用戶名
*/
private String userName;
/**
* 密碼
*/
private String password;
}
三、小結
整個程式的實作程序,主要使用了 Spring AOP 特性,對特定方法進行前、后攔截,從而實作業務方的需求,
在下篇文章中,我們會詳細介紹 Spring AOP 的使用!
一、簡介
任何一個軟體系統,都不可避免的會碰到【資訊安全】這個詞,尤其是對于剛入行的新手,比如我,我剛入行的時候,領導讓我做一個資料報表匯出功能,我就按照他的意思去做,至于誰有權限操作匯出,匯出的資料包含敏感資訊應該怎么處理,后端介面是不是做了權限控制防止惡意抓取,這些問題我基本上不關心,我只想一心一意盡快實作需求,然后順利完成任務交付,
實際上,隨著作業閱歷的增加,你會越來越能感覺到,實作業務方提的需求,只是完成了軟體系統研發中的【能用】要求;服務是否【可靠】可能需要從架構層和運維方面去著手解決;至于是否【安全】、更多的需要從【資訊安全】這個角度來思考,尤其是當我們的軟體系統面對外界的惡意干擾和攻擊時,是否依然能保障用戶正常使用,對于大公司,這個可能是頭等大事,因為可能一個很小很小的漏洞,一不小心可能會給公司帶來幾千萬的損失!
最常見的就是電商系統和支付系統,尤其是需求旺季的時候,經常有黑客專門攻擊這些電商系統,導致大量服務宕機,影響用戶正常下單,
像這樣的攻擊案例每天都有,有的公司甚至直接向黑客氣妥,給錢消災!
但是這種做法肯定不是長久之計,最重要的還是主動提升系統的【安全】防御系數,
由于資訊安全所涉及的要求內容眾多,今天,我在這里僅僅向大家介紹其中關于【審計日志】的要求和具體應用,后續也會向大家介紹其他的要求,
【審計日志】,簡單的說就是系統需要記錄誰,在什么時間,對什么資料,做了什么樣的更改!這個日志資料是極其珍貴的,后面如果因業務操作上出了問題,可以很方便進行操作回查,
同時,任何一個 IT 系統,如果要過審,這項任務基本上也是必審項!
好了,需求我們清楚了,具體應用看下面!
二、實踐
實作【審計日志】這個需求,我們有一個很好的技術解決方案,就是使用 Spring 的切面編程,創建一個代理類,利用afterReturning和afterThrowing方法來實作日志的記錄,
具體實作步驟如下
- 先創建審計日志表
CREATE TABLE `tb_audit_log` (
`id` bigint(20) NOT NULL COMMENT '審計日志,主鍵ID',
`table_name` varchar(500) DEFAULT '' COMMENT '操作的表名,多個用逗號隔開',
`operate_desc` varchar(200) DEFAULT '' COMMENT '操作描述',
`request_param` varchar(200) DEFAULT '' COMMENT '請求引數',
`result` int(10) COMMENT '執行結果,0:成功,1:失敗',
`ex_msg` varchar(200) DEFAULT '' COMMENT '例外資訊',
`user_agent` text COLLATE utf8mb4_unicode_ci COMMENT '用戶代理資訊',
`ip_address` varchar(32) NOT NULL DEFAULT '' COMMENT '操作時設備IP',
`ip_address_name` varchar(32) DEFAULT '' COMMENT '操作時設備IP所在地址',
`operate_time` datetime NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT '操作時間',
`operate_user_id` varchar(32) DEFAULT '' COMMENT '操作人ID',
`operate_user_name` varchar(32) DEFAULT '' COMMENT '操作人',
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci COMMENT='審計日志表';
- 然后撰寫一個注解類
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.TYPE,ElementType.METHOD})
@Documented
public @interface SystemAuditLog {
/**
* 操作了的表名
* @return
*/
String tableName() default "";
/**
* 日志描述
* @return
*/
String description() default "";
}
- 接著撰寫一個代理類
@Component
@Aspect
public class SystemAuditLogAspect {
@Autowired
private SystemAuditLogService systemAuditLogService;
/**
* 定義切入點,切入所有標注此注解的類和方法
*/
@Pointcut("@within(com.example.demo.core.annotation.SystemAuditLog)|| @annotation(com.example.demo.core.annotation.SystemAuditLog)")
public void methodAspect() {
}
/**
* 方法呼叫前攔截
*/
@Before("methodAspect()")
public void before(){
System.out.println("SystemAuditLog代理 -> 呼叫方法執行之前......");
}
/**
* 方法呼叫后攔截
*/
@After("methodAspect()")
public void after(){
System.out.println("SystemAuditLog代理 -> 呼叫方法執行之后......");
}
/**
* 呼叫方法結束攔截
*/
@AfterReturning(value = "https://www.cnblogs.com/dxflqm/p/methodAspect()")
public void afterReturning(JoinPoint joinPoint) throws Exception {
System.out.println("SystemAuditLog代理 -> 呼叫方法結束攔截......");
//封裝資料
AuditLog entity = warpAuditLog(joinPoint);
entity.setResult(0);
//插入到資料庫
systemAuditLogService.add(entity);
}
/**
* 拋出例外攔截
*/
@AfterThrowing(value="https://www.cnblogs.com/dxflqm/p/methodAspect()", throwing="ex")
public void afterThrowing(JoinPoint joinPoint, Exception ex) throws Exception {
System.out.println("SystemAuditLog代理 -> 拋出例外攔截......");
//封裝資料
AuditLog entity = warpAuditLog(joinPoint);
entity.setResult(1);
//封裝錯誤資訊
entity.setExMsg(ex.getMessage());
//插入到資料庫
systemAuditLogService.add(entity);
}
/**
* 封裝插入物體
* @param joinPoint
* @return
* @throws Exception
*/
private AuditLog warpAuditLog(JoinPoint joinPoint) throws Exception {
//獲取請求背景關系
HttpServletRequest request = getHttpServletRequest();
//獲取注解上的引數值
SystemAuditLog systemAuditLog = getServiceMethodDescription(joinPoint);
//獲取請求引數
Object requestObj = getServiceMethodParams(joinPoint);
//封裝資料
AuditLog auditLog = new AuditLog();
auditLog.setId(SnowflakeIdWorker.getInstance().nextId());
//從請求背景關系物件獲取相應的資料
if(Objects.nonNull(request)){
auditLog.setUserAgent(request.getHeader("User-Agent"));
//獲取登錄時的ip地址
auditLog.setIpAddress(IpAddressUtil.getIpAddress(request));
//呼叫外部介面,獲取IP所在地
auditLog.setIpAddressName(IpAddressUtil.getLoginAddress(auditLog.getIpAddress()));
}
//封裝操作的表和描述
if(Objects.nonNull(systemAuditLog)){
auditLog.setTableName(systemAuditLog.tableName());
auditLog.setOperateDesc(systemAuditLog.description());
}
//封裝請求引數
auditLog.setRequestParam(JSON.toJSONString(requestObj));
//封裝請求人
if(Objects.nonNull(requestObj) && requestObj instanceof BaseRequest){
auditLog.setOperateUserId(((BaseRequest) requestObj).getLoginUserId());
auditLog.setOperateUserName(((BaseRequest) requestObj).getLoginUserName());
}
auditLog.setOperateTime(new Date());
return auditLog;
}
/**
* 獲取當前的request
* 這里如果報空指標例外是因為單獨使用spring獲取request
* 需要在組態檔里添加監聽
*
* 如果是spring專案,通過下面方式注入
* <listener>
* <listener-class>
* org.springframework.web.context.request.RequestContextListener
* </listener-class>
* </listener>
*
* 如果是springboot專案,在配置類里面,通過下面方式注入
* @Bean
* public RequestContextListener requestContextListener(){
* return new RequestContextListener();
* }
* @return
*/
private HttpServletRequest getHttpServletRequest(){
RequestAttributes ra = RequestContextHolder.getRequestAttributes();
ServletRequestAttributes sra = (ServletRequestAttributes)ra;
HttpServletRequest request = sra.getRequest();
return request;
}
/**
* 獲取請求物件
* @param joinPoint
* @return
* @throws Exception
*/
private Object getServiceMethodParams(JoinPoint joinPoint) {
Object[] arguments = joinPoint.getArgs();
if(Objects.nonNull(arguments) && arguments.length > 0){
return arguments[0];
}
return null;
}
/**
* 獲取自定義注解里的引數
* @param joinPoint
* @return 回傳注解里面的日志描述
* @throws Exception
*/
private SystemAuditLog getServiceMethodDescription(JoinPoint joinPoint) throws Exception {
//類名
String targetName = joinPoint.getTarget().getClass().getName();
//方法名
String methodName = joinPoint.getSignature().getName();
//引數
Object[] arguments = joinPoint.getArgs();
//通過反射獲取示例物件
Class targetClass = Class.forName(targetName);
//通過實體物件方法陣列
Method[] methods = targetClass.getMethods();
for(Method method : methods) {
//判斷方法名是不是一樣
if(method.getName().equals(methodName)) {
//對比引數陣列的長度
Class[] clazzs = method.getParameterTypes();
if(clazzs.length == arguments.length) {
//獲取注解里的日志資訊
return method.getAnnotation(SystemAuditLog.class);
}
}
}
return null;
}
}
- 最后,只需要在對應的介面或者方法上添加審計日志注解即可
@RestController
@RequestMapping("api")
public class LoginController {
/**
* 用戶登錄,添加審計日志注解
* @param request
*/
@SystemAuditLog(tableName = "tb_user", description = "用戶登錄")
@PostMapping("login")
public void login(UserLoginDTO request){
//登錄邏輯處理
}
}
- 相關的物體類
@Data
public class AuditLog {
/**
* 審計日志,主鍵ID
*/
private Long id;
/**
* 操作的表名,多個用逗號隔開
*/
private String tableName;
/**
* 操作描述
*/
private String operateDesc;
/**
* 請求引數
*/
private String requestParam;
/**
* 執行結果,0:成功,1:失敗
*/
private Integer result;
/**
* 例外資訊
*/
private String exMsg;
/**
* 請求代理資訊
*/
private String userAgent;
/**
* 操作時設備IP
*/
private String ipAddress;
/**
* 操作時設備IP所在地址
*/
private String ipAddressName;
/**
* 操作時間
*/
private Date operateTime;
/**
* 操作人ID
*/
private String operateUserId;
/**
* 操作人
*/
private String operateUserName;
}
public class BaseRequest implements Serializable {
/**
* 請求token
*/
private String token;
/**
* 登錄人ID
*/
private String loginUserId;
/**
* 登錄人姓名
*/
private String loginUserName;
public String getToken() {
return token;
}
public void setToken(String token) {
this.token = token;
}
public String getLoginUserId() {
return loginUserId;
}
public void setLoginUserId(String loginUserId) {
this.loginUserId = loginUserId;
}
public String getLoginUserName() {
return loginUserName;
}
public void setLoginUserName(String loginUserName) {
this.loginUserName = loginUserName;
}
}
@Data
public class UserLoginDTO extends BaseRequest {
/**
* 用戶名
*/
private String userName;
/**
* 密碼
*/
private String password;
}
三、小結
整個程式的實作程序,主要使用了 Spring AOP 特性,對特定方法進行前、后攔截,從而實作業務方的需求,
更多 SpringBoot 相關技術案例實踐,感興趣的朋友,關注下方公眾號,并回復【cccc6】即可獲取源代碼!
作者:程式員志哥
出處:www.pzblog.cn
資源:微信搜【Java極客技術】關注我,回復 【cccc】有我準備的一執行緒式必備計算機書籍、大廠面試資料和免費電子書, 一共24G的資料,希望可以幫助大家提升技術和能力,
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/449749.html
標籤:Java
上一篇:集合框架(TreeSet排序--存盤字串---自定義物件)
下一篇:集合框架(Set集合練習)