[发明专利]越权校验方法、装置、设备与存储介质

说明书

本申请涉及越权校验技术领域，本申请提供一种越权校验方法、装置、设备与存储介质，越权校验方法包括：接收终端设备发送的用户请求，并确定与所述用户请求对应的目标业务接口；在为所述目标业务接口预先配置切面层的情况下，通过所述切面层获取为所述目标业务接口配置的目标越权校验协议，所述目标越权校验协议包括至少一个越权校验参数；通过所述切面层根据至少一个所述越权校验参数，对所述用户请求进行越权校验。实施本申请，可以与业务层解耦，避免业务代码的污染。

技术领域

本申请涉及越权校验技术领域，尤其涉及一种越权校验方法、装置与存储介质。

背景技术

越权问题是网页web应用程序中一种常见的漏洞，又分水平校验(比如用户A访问到了用户B的信息)和垂直校验(比如普通用户获取到了管理员权限的信息)。越权是指业务系统未对某个操作权限或者账户进行严格的限制，导致本来没有操作权限的账号获得正常的操作权限，造成大量用户敏感信息泄漏，甚至非法操作其他账户的隐私数据。

越权漏洞属于业务强相关的逻辑漏洞，传统的做法是，把越权校验逻辑直接写在业务代码里面。代码入侵性强，当业务场景发生变化的时候，就需要修改代码，扩展性差。

发明内容

基于此，有必要针对上述技术问题，提供一种越权校验方法、装置、设备与存储介质，将越权校验逻辑抽象到切面层，在切面层完成越权校验，与业务层解耦，避免业务代码的污染。

第一方面，本申请提供一种越权校验方法，所述方法包括：

接收终端设备发送的用户请求，并确定与所述用户请求对应的目标业务接口；

在为所述目标业务接口预先配置切面层的情况下，通过所述切面层获取为所述目标业务接口配置的目标越权校验协议，所述目标越权校验协议包括至少一个越权校验参数；

通过所述切面层根据至少一个所述越权校验参数，对所述用户请求进行越权校验。

结合第一方面，在一些实施例中，所述越权校验参数包括目标bean对象的baen名称、目标越权校验方法的目标方法名、目标字段的字段名称；

所述通过所述切面层根据所述至少一个越权校验参数，对所述用户请求进行越权校验，包括：

通过所述切面层根据所述baen名称从所述目标bean对象中获取所述目标方法名对应的所述目标越权校验方法；

通过所述切面层根据所述字段名称从所述用户请求中获取所述目标字段的字段值；

通过所述切面层采用所述目标越权校验方法对所述字段值进行校验。

结合第一方面，在一些实施例中，所述通过所述切面层根据所述bean名称从所述目标bean对象中获取所述目标方法名对应的所述目标越权校验方法，包括：

通过所述切面层从spring容器中获取所述baen名称对应的所述目标bean对象，所述目标bean对象包括多个越权校验方法，所述多个越权校验方法均属于目标业务场景类型的越权校验方法；

通过切面层从所述多个越权校验方法中获取与所述目标方法名对应的所述目标越权校验方法。

结合第一方面，在一些实施例中，所述接收终端设备发送的用户请求之前还包括：

获取所述目标业务场景类型对应的Java文件，所述Java文件包括所述多个越权校验方法；

将所述Java文件对应的Java对象解析成所述目标bean对象；

将所述目标bean对象存储到所述spring容器中。

结合第一方面，在一些实施例中，所述目标字段包括至少一个字段，所述通过所述切面层根据所述字段名称从所述用户请求中获取所述目标字段的字段值，包括：