内容简介:事情的起因是帮班级开发了一个管理平台,其中的权限校验部分使用了shiro。上线后有一个同学发现了一个漏洞,可以造成任意用户登录,绕过Api的身份验证。我们在使用shiro进行身份认证时,需要根据自己的需求实现Realm,实现doGetAuthentication(用户身份认证信息)以及doGetAuthorizationInfo(用于权限校验信息)。重写的doGetAuthenticationInfo方法,在使用userMapper查询到用户信息之后,将user存到了shiro的session之后。
事情的起因是帮班级开发了一个管理平台,其中的权限校验部分使用了shiro。上线后有一个同学发现了一个漏洞,可以造成任意用户登录,绕过Api的身份验证。
我们在使用shiro进行身份认证时,需要根据自己的需求实现Realm,实现doGetAuthentication(用户身份认证信息)以及doGetAuthorizationInfo(用于权限校验信息)。
问题代码
重写的doGetAuthenticationInfo方法,在使用userMapper查询到用户信息之后,将user存到了shiro的session之后。
@Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException,NumberFormatException { if (token.getPrincipal()==null){ throw new UnknownAccountException(); } Integer studentId = Integer.valueOf((String) token.getPrincipal()); //取出数据库中的指定User User user= Optional.ofNullable(userMapper.selectByStudentId(studentId)).orElseThrow(UnknownAccountException::new); SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(user,user.getPassword(),getName()); Session session= SecurityUtils.getSubject().getSession(); //存到shiro的session中(对于Web来说本质是HttpSession) session.setAttribute("USER_SESSION",user); return info; }
登录处:
Subject subject=SecurityUtils.getSubject(); UsernamePasswordToken token=new UsernamePasswordToken(studentId,password); try { subject.login(token); }
之后的API处的身份验证:
if(!SecurityUtils.getSubject().isAuthenticated()) { return resultJson.error(401,"未授权"); } User user = CommonUtil.getUserFromShiroSession(); //其中的getUserFromShiroSession(): public static User getUserFromShiroSession(){ return (User)SecurityUtils.getSubject().getSession().getAttribute("USER_SESSION"); }
身份认证的逻辑就是:
身份验证时,先验证当前的Subject是否已经授权,如果已经授权的话,获取当前用户采用了从shiro的session中获取的方法
这会导致什么问题呢?先了解一下shiro身份认证的过程
Shiro进行身份认证的过程
我们先Debug跟一下,理一下shiro的身份验证的逻辑。
断点下在login处,我们跟进login方法。
login默认调用的是DelegatingSubject的login方法。
可以看到,其中的逻辑为:调用securityManger的login方法。而其中的改变Subject的成员变量authenticated的值在login的下面。
跟进securityManger的login方法:
跟进authenticate(token);我们进入authenticate方法,单步往下跟最后可以跟到AuthenticatingRealm的 getAuthenticationInfo
方法。可以看到此处调用了我们重写的 doGetAuthenticationInfo
方法,也就是在这里,依照我们的校验逻辑,shiro中的session就被赋值完成了。
接着我们回到 getAuthenticationInfo
方法,其中调用了 assertCredentialsMatch(token,info)
,将用户输入token,与查出的用户info信息比对,不匹配就抛出异常,异常延调用栈一直抛到我们的subject.login()方法。
这里就可以看出,即使登录失败,我们在 doGetAuthenticationInfo
中设置的session属性依然可以生效。而且由于异常栈抛出的过程中并没有创建subject,也不会重新设置authenticated的状态。
问题根源
当用户重复登录的时候,会改变session中的USER_SESSION的值,但是并不会改变用户isAuthenticated的状态
当A用户使用自己的账号登录成功之后(这时Subject.isAuthenticated()已经变成了true),带着登录成功的Session,尝试登录另一个用户B的账号,Shiro在 Subject.login()
的时候调用了我们重写的 doGetAuthenticationInfo(AuthenticationToken token)
方法。
这时候,Session中的USER_SESSION的值已经变成了用户B的信息,而且shiro这时并不会更新isAuthenticated的状态,这样一来用户A就可以绕开了身份验证,能够以用户B的身份访问其他的API。
拓展
其实当时的写法参考了这篇文章:
一起来学SpringBoot | 第二十六篇:轻松搞定安全框架(Shiro) ,
这篇文章的写法也出了问题,出问题的地方在权限校验处。
Realm:
@Configuration public class AuthRealm extends AuthorizingRealm { @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { String principal = (String) token.getPrincipal(); User user = Optional.ofNullable(DBCache.USERS_CACHE.get(principal)).orElseThrow(UnknownAccountException::new); if (!user.isLocked()) { throw new LockedAccountException(); } SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(principal, user.getPassword(), getName()); Session session = SecurityUtils.getSubject().getSession(); //在进行权限校验的时候,直接从session中取对应的值 session.setAttribute("USER_SESSION", user); return authenticationInfo; } @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) { Session session = SecurityUtils.getSubject().getSession(); //这里将user存到了USER_SESSION中 User user = (User) session.getAttribute("USER_SESSION"); SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); Set<String> roles = new HashSet<>(); roles.add(user.getRoleName()); info.setRoles(roles); final Map<String, Collection<String>> permissionsCache = DBCache.PERMISSIONS_CACHE; final Collection<String> permissions = permissionsCache.get(user.getRoleName()); info.addStringPermissions(permissions); return info; } }
我们就用这篇文章的代码做一个demo测试一下,Realm与文章中的相同:
我们创建两个用户:
我们编写以下Controller
假设我们现在是user2,角色是guest,hello接口只有admin角色的用户可以访问,我们访问不了hello接口。
接着我们登录user1,由于我们不知道user1的密码,所以登录失败。
但是此时我们的USER_SESSION已经更新成user1的,所以我们的角色也变成了admin。当调用
doGetAuthorizationInfo
获取info 的时候,获取到的info中的role就为admin。此时我们再次访问/hello
正确使用shiro
从前面的分析可知,在shiro中获取当前用户信息,不要使用自定义的Realm中将信息存到session里。
shiro中正确获取当前用户的方法应该为 (User) SecurityUtils.getSubject().getPrincipal()
来获取,这里是因为Subject中的principal只有在用户成功登录之后才进行更新。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 使用Docker快速搭建漏洞分析环境
- Saluki: 使用静态属性检查查找污点风格的漏洞
- runC 爆严重漏洞,使用容器的快打补丁
- runC 爆严重漏洞,使用容器的快打补丁
- 如何使用未Root的Android手机扫描网站漏洞
- 对2019年各个国家0 day漏洞使用情况的介绍
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
图论算法理论、实现及应用
王桂平//王衍//任嘉辰 / 北京大学 / 2011-1 / 54.00元
《图论算法理论、实现及应用》系统地介绍了图论算法理论,并选取经典的ACM/ICPC竞赛题目为例题阐述图论算法思想,侧重于图论算法的程序实现及应用。《图论算法理论、实现及应用》第1章介绍图的基本概念和图的两种存储表示方法:邻接矩阵和邻接表,第2~9章分别讨论图的遍历与活动网络问题,树与图的生成树,最短路径问题,可行遍性问题,网络流问题,支配集、覆盖集、独立集与匹配,图的连通性问题,平面图及图的着色问......一起来看看 《图论算法理论、实现及应用》 这本书的介绍吧!
HTML 压缩/解压工具
在线压缩/解压 HTML 代码
MD5 加密
MD5 加密工具