关于安全开发的一些思考
之前面试某宝的时候,某人问过我,如果解决开发不懂安全的问题,就比如说SSRF,XEE这样的漏洞,如果一旦发生,应该如果立刻去响应,并帮助开发人员修复漏洞,难道写一个jar包?然后丢给数以百计的业务去调用?还是你去手把手的去教给开发,应该如何修改代码!!
其实在java动态代理中,就已经解决了这种问题,本人将从以下几个方面,帮助大家理解动态代理的知识。对于懂java的“安全牛”来说这是一件很简单的事情,本文目的主要是记录下解决问题的过程。
静态代理
jdk动态代理
CGLIB代理
Spring AOP
为什么使用动态代理
作为在乙方工作的“安全工程狮”有时候想一下还是幸福的,最近通过跟甲方的某狮子交流,发现业务量很大的情况下,一旦发生了安全问题,解决起来真是个麻烦的事情,需要收集资产,要出方案,最难的是教会开发修补漏洞,仔细思考了这个问题,遂想到了java动态代理,周末的时候研究了一下,现在分享给大家。设想一下,如果你挨个去教给开发应该怎么去修复漏洞,那么24小时之内完成应急是根本不可能完成的。比较高效的方法是,安全的逻辑都由安全部门实现,我们只需要留给开发一个接口供他们去使用就ok。那怎么样才可能通过,不修改源代码的情况下,增加业务的安全性,就是通过今天说的java动态代理。
静态代理
定义接口:
public interface Hello1 {
public void say(String name);
}
复制代码
实现类:
public class HelloImpl implements Hello1{
@Override
public void say(String name) {
// TODO Auto-generated method stub
System.out.println("Hello"+name);
}
}
复制代码
hello1代理类: public class HelloProxy implements Hello1{ private Hello1 hello;
public HelloProxy(){
hello=new HelloImpl();
}
@Override
public void say(String name){
before();
hello.say(name);
after();
}
private void after() {
// TODO Auto-generated method stub
System.out.println("after");
}
private void before() {
// TODO Auto-generated method stub
System.out.println("before");
}
}
复制代码
主函数:
public static void main(String[] args){
Hello1 helloProxy=new HelloProxy();
helloProxy.say("Jack");
}
复制代码
由上面的过程可以看得出来,我们通过hello1的代理类,增加了say()函数,通过代理,实现了before和after函数。这就是我要说的代理,只不过这事静态代理,通用性差,修改起来麻烦。下面说动态代理。
jdk动态代理
public class DynamicProxy2 implements InvocationHandler {
public Object target;
@SuppressWarnings("unchecked")
public <T> T getProxy(){
return (T)Proxy.newProxyInstance(target.getClass().getClassLoader(),
target.getClass().getInterfaces(), this);
}
public DynamicProxy2(Object target) {
// TODO Auto-generated constructor stub
this.target=target;
}
@Override
public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
// TODO Auto-generated method stub
before();
Object result=method.invoke(target, args);
after();;
return result;
}
private void after() {
// TODO Auto-generated method stub
System.out.println("after");
}
private void before() {
// TODO Auto-generated method stub
System.out.println("before");
}
复制代码
主函数:
public static void main(String[] args) {
// TODO Auto-generated method stub
DynamicProxy2 dynamicProxy2 = new DynamicProxy2(new HelloImpl());
Hello1 helloproxy= dynamicProxy2.getProxy();
helloproxy.say("hi java");
}
复制代码
这里可以看到通过jdk动态代理,首先实现InvocationHandler接口,然后实现了invoke方法。从主函数中可以看到,这里我们并不关心你的类是什么,你的接口是什么,只要你把实现接口的类传递进来,就可以了,这个方案看起来是很不错的。好像可以解决一开始的需求,但是jdk动态代理只能代理接口,而不能代理没有接口的类,这种情况该怎么解决?
CGLIB动态代理
public class CGLibProxy implements MethodInterceptor {
@SuppressWarnings("unchecked")
public<T> T getProxy(Class<T> cls){
return (T) Enhancer.create(cls, this);
}
@Override
public Object intercept(Object obj, Method method, Object[] args, MethodProxy proxy) throws Throwable {
// TODO Auto-generated method stub
before();
Object result=proxy.invokeSuper(obj, args);
after();
return result;
}
private void after() {
// TODO Auto-generated method stub
System.out.println("after");
}
private void before() {
// TODO Auto-generated method stub
System.out.println("before");
}}
复制代码
主函数:
public static void main(String[] args) {
// TODO Auto-generated method stub
CGLibProxy cglibproxy=new CGLibProxy();
Hello1 helloproxy=cglibproxy.getProxy(HelloImpl.class);
helloproxy.say("asd");
}
复制代码
这里需要引入开篇时候的那个jar包。CGLIB可以代理没有接口的类,这就弥补了jdk动态代理的不足。通过jdk,cglib动态代理,就可以解决以上遇到的问题。
来自:http://www.freebuf.com/articles/web/118334.html