(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 202011528266.5
(22)申请日 2020.12.22
(71)申请人 平安普惠企业管理有限公司
地址 518000 广东省深圳市前海深港合作
区前湾一路1号A栋201室(入驻深圳市
前海商务秘书有限公司)
(72)发明人 李考勤
(74)专利代理机构 深圳市世联合知识产权代理
有限公司 44385
代理人 汪琳琳
(51)Int.Cl.
G06F 21/62(2013.01)
G06F 21/31(2013.01)
G06F 21/60(2013.01)
(54)发明名称一种防止越权访问的方法、装置、计算机设备及存储介质(57)摘要本申请涉及信息安全技术,揭露了一种防止越权访问的方法、装置、计算机设备及存储介质,包括通过预设的拦截用户访问请求;将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户 是否拥有所述用户访问请求对应的用户权限;若拥有所述用户权限,则放行所述用户请求并接收入参,所述入参包括申请号;验证所述用户是否拥有访问所述入参中申请号对应数据的权限;当验证通过时,调出所述申请号对应的数据。本申请还涉及区块链技术,各用户对应的角权限数据存储于区块链中。本申请通过对访问请求进行权限校验和数据校验两次校验,有效防止越权访问,提高了网络安全;并且将Session提入缓存中,能实现 权限的快速校对。权利要求书2页 说明书10页 附图3页CN 112632605 A 2021.04.09
C N 112632605
A
1.一种防止越权访问的方法,其特征在于,所述方法包括:
通过预设的拦截用户访问请求;
将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限;
若拥有所述用户权限,则放行所述用户请求并接收入参,所述入参包括申请号;
验证所述用户是否拥有访问所述入参中申请号对应数据的权限;
当验证通过时,调出所述申请号对应的数据。
2.根据权利要求1所述的防止越权访问的方法,其特征在于,所述通过预设的拦截用户访问请求之前,还包括:
利用SpringMVC构架建立所述,并将所述进行部署,以拦截和分发所述用户访问请求。
3.根据权利要求1所述的防止越权访问的方法,其特征在于,在所述将用户对应的Session从数据库提入缓存中之前,还包括:
将Cookie的Secure和HttpOnly属性都设置为true。
4.根据权利要求1所述的防止越权访问的方法,其特征在于,所述将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限包括:
接收用户登录信息;
判断所述用户登录信息是否正确;
若用户登录信息正确,则将用户对应的Session从数据库提入缓存中;
查询所述用户访问请求的URL对应的用户权限;
从缓存中调用所述Session中的角列表,将所述用户权限与所述Session中的角权限进行比对;
若比对成功,则确定所述用户拥有所述用户访问请求对应的用户权限。
5.根据权利要求4所述的防止越权访问的方法,其特征在于,在所述查询所述用户访问请求的URL对应的用户权限之前,还包括:
校验所述用户访问请求的URL和HTTP中的referer中记录的源地址是否一致;
若不一致,则不响应所述用户访问请求。
6.根据权利要求4所述的防止越权访问的方法,其特征在于,在所述接收用户登录信息之前,还包括:
接收各用户对应的所述角权限;
并将各所述用户访问请求的URL与所述用户权限建立对应关系。
7.根据权利要求1所述的防止越权访问的方法,其特征在于,所述验证所述用户是否拥有访问所述入参中申请号对应数据的权限包括:
获取所述申请号对应的第一部门组织机构和所述用户对应的第二部门组织机构;
验证所述申请号对应的第一部门组织机构是否所属于或对应于所述用户对应的第二部门组织机构。
8.一种防止越权访问的装置,其特征在于,所述装置包括:
拦截模块,用于通过预设的拦截用户访问请求;
判断模块,用于将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限;
接收模块,用于若拥有所述用户权限,则放行所述用户请求并接收入参,所述入参包括申请号;
验证模块,用于验证所述用户是否拥有访问所述入参中申请号对应数据的权限;
输出模块,用于当验证通过时,调出所述申请号对应的数据。
9.一种计算机设备,其特征在于,所述计算机设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有计算机可读指令,所述处理器执行所述计算机可读指令时实现如权利要求1至7中任一所述的防止越权访问的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机可读指令,所述计算机可读指令被处理器执行时实现如权利要求1至7中任一所述的防止越权访问的方法。
一种防止越权访问的方法、装置、计算机设备及存储介质
技术领域
[0001]本申请涉及信息安全技术领域,尤其涉及一种防止越权访问的方法、装置、计算机设备及存储介质。
背景技术
[0002]随着互联网应用的越来越广泛,互联网安全问题成了人们日益关注的问题。在现有的多种威胁
网络安全的攻击方法中,跨站请求伪造(CSRF)攻击是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。攻击者只要借助少许的社会工程诡计,例如通过或者是聊天软件发送的链接,攻击者就能迫使一个Web应用程序的用户去执行攻击者选择的操作。在现有技术中,其方案仅仅在菜单、按钮上做了权限控制,导致恶意用户只要猜测其他管理页面的URL或者敏感的参数信息,就可以访问或控制其他角拥有的数据或页面。因此,如何有效拦截恶意访问请求,提高网络安全成为了亟待解决的问题。
发明内容
[0003]本申请提供了一种防止越权访问的方法、装置、计算机设备及存储介质,以解决现有技术中越权访问数据的问题。
[0004]为解决上述问题,本申请提供了一种防止越权访问的方法,包括:
[0005]通过预设的拦截用户访问请求;
[0006]将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限;
[0007]若拥有所述用户权限,则放行所述用户请求并接收入参,所述入参包括申请号;[0008]验证所述
用户是否拥有访问所述入参中申请号对应数据的权限;
[0009]当验证通过时,调出所述申请号对应的数据。
[0010]进一步的,所述通过预设的拦截用户访问请求之前,还包括:
[0011]利用SpringMVC构架建立所述,并将所述进行部署,以拦截和分发所述用户访问请求。
[0012]进一步的,在所述将用户对应的Session从数据库提入缓存中之前,还包括:[0013]将Cookie的Secure和HttpOnly属性都设置为true。
[0014]进一步的,所述将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限包括:
[0015]接收用户登录信息;
[0016]判断所述用户登录信息是否正确;
[0017]若用户登录信息正确,则将用户对应的Session从数据库提入缓存中;
[0018]查询所述用户访问请求的URL对应的用户权限;
[0019]从缓存中调用所述Session中的角列表,将所述用户权限与所述Session中的角
权限进行比对;
[0020]若比对成功,则确定所述用户拥有所述用户访问请求对应的用户权限。
[0021]再进一步的,在所述查询所述用户访问请求的URL对应的用户权限之前,还包括:[0022]校验所述用户访问请求的URL和HTTP中的referer中记录的源地址是否一致;[0023]若不一致,则不响应所述用户访问请求。
[0024]再进一步的,在所述接收用户登录信息之前,还包括:
[0025]接收各用户对应的所述角权限;
[0026]并将各所述用户访问请求的URL与所述用户权限建立对应关系。
[0027]进一步的,所述验证所述用户是否拥有访问所述入参中申请号对应数据的权限包括:
[0028]获取所述申请号对应的第一部门组织机构和所述用户对应的第二部门组织机构;[0029]验证所述
申请号对应的第一部门组织机构是否所属于或对应于所述用户对应的第二部门组织机构。
[0030]为了解决上述问题,本申请还提供一直防止越权访问的装置,所述装置包括:[0031]拦截模块,用于通过预设的拦截用户访问请求;
[0032]判断模块,用于将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限;
[0033]接收模块,用于若拥有所述用户权限,则放行所述用户请求并接收入参,所述入参包括申请号;
[0034]验证模块,用于验证所述用户是否拥有访问所述入参中申请号对应数据的权限;[0035]输出模块,用于当验证通过时,调出所述申请号对应的数据。
[0036]为了解决上述问题,本申请还提供一种计算机设备,包括:
[0037]至少一个处理器;以及,
[0038]与所述至少一个处理器通信连接的存储器;其中,
[0039]所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上述所述的一种防止越权访问的方法。
[0040]为了解决上述问题,本申请还提供一种非易失性的计算机可读存储介质,所述计算机可读存储介质上存储有计算机可读指令,所述计算机可读指令被处理器执行时实现如上述所述的一种防止越权访问的方法。
[0041]根据本申请实施例提供的一种防止越权访问的方法、装置、计算机设备及存储介质,与现有技术相比至少具有以下有益效果:
[0042]通过预设的拦截用户访问请求,来拦截和分发所述用户访问请求;将用户对应的Session从数据库提入缓存中,从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限;若拥有所述用户权限,则放行所述用户请求并接收入参,所述入参包括申请号;验证所述用户是否拥有访问所述入参中申请号对应数据的权限;当验证通过时,调出所述申请号对应的数据。通过对访问请求进行权限校验和数据校验两次校验,有效防止越权访问,提高了网络安全;并且将Session提入缓存中,能实现权限的快速校对。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议