1. 越权漏洞藏在权限背后的安全隐患想象一下这样的场景你住在一栋公寓里物业给每个住户发了门禁卡。理论上你的卡只能刷开自己家的门但如果有一天你发现这张卡能打开整栋楼所有房间的门——这就是典型的越权漏洞。在SpringWeb项目中这种安全隐患可能导致用户数据泄露、业务逻辑被篡改等严重后果。越权漏洞主要分为三种类型未授权访问相当于没有门禁卡的人混进了小区水平越权你的门禁卡能打开邻居家的门垂直越权普通住户的卡突然能打开物业办公室我在实际项目审计中发现80%的中小型SpringWeb应用都存在不同程度的越权问题。很多开发者认为已经做了登录验证就安全了却忽略了权限细粒度控制这个关键环节。比如最近审计的一个电商系统攻击者只需修改订单ID参数就能查看他人订单这就是典型水平越权。2. 漏洞检测像黑客一样思考2.1 未授权访问检测实战最基础的检测方法就是不登录直接访问需要认证的接口。比如直接浏览器访问/admin/userList如果返回了用户列表数据那问题就很严重了。我常用的检测流程是使用Postman或curl发送未认证请求检查响应状态码和返回数据尝试绕过前端校验直接调用API接口# 使用curl测试未授权访问 curl -X GET http://example.com/api/secret-data对于依赖Cookie认证的系统可以尝试伪造Cookie。Chrome开发者工具的Application面板就能直接编辑当前站点的Cookie值。我曾遇到一个系统只要把cookie中的isLoginfalse改为true就能绕过认证。2.2 水平越权深度测试水平越权检测需要准备两个同权限等级的测试账号。以用户管理系统为例用用户A登录查看自己的个人信息接口如/user/profile/123记录请求中的用户ID参数将ID替换为用户B的ID如改为/user/profile/456检查是否能获取到用户B的信息Burp Suite的Intruder模块非常适合做参数遍历测试。去年帮一个金融客户做渗透测试时我们发现其用户ID是连续数字通过脚本批量测试成功获取了上万个用户资料。2.3 垂直越权突破技巧垂直越权测试需要高低权限账号各一个。关键点是找到那些本不该出现的功能接口用低权限账号登录通过浏览器开发者工具抓取高权限接口如管理后台的API直接调用这些接口测试响应有个有趣的案例某系统前端会根据角色隐藏管理菜单但后端接口完全没有做权限校验。我们通过查看网页源码找到了被隐藏的接口路径用普通用户账号成功执行了管理员操作。3. SpringWeb防御方案实战3.1 过滤器方案全站防护网Servlet过滤器适合需要对静态资源也做权限控制的场景。下面是我在多个项目中验证过的增强版过滤器实现WebFilter(filterName authFilter, urlPatterns /*) public class AuthFilter implements Filter { // 排除登录等公开接口 private static final SetString WHITE_LIST Set.of( /login, /public/*, /error ); Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request (HttpServletRequest) req; String path request.getRequestURI(); // 白名单直接放行 if(isWhiteList(path)) { chain.doFilter(req, res); return; } // 从JWT或Session获取用户信息 User user getUserFromToken(request); if(user null) { sendError(res, 401, 请先登录); return; } // 检查权限 if(!checkPermission(user, path)) { sendError(res, 403, 权限不足); return; } chain.doFilter(req, res); } private boolean checkPermission(User user, String path) { // 这里实现你的权限校验逻辑 // 可以从数据库查询用户的权限列表 return user.getPermissions().contains(path); } }关键点务必设置白名单避免拦截登录等公开接口权限检查建议使用RBAC模型错误响应要统一格式避免泄露系统信息3.2 拦截器方案Spring风格防护对于纯API项目Spring拦截器是更优雅的选择。这是我优化过的拦截器实现Component public class AuthInterceptor implements HandlerInterceptor { Autowired private PermissionService permissionService; Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 静态资源直接放行 if (!(handler instanceof HandlerMethod)) { return true; } HandlerMethod method (HandlerMethod) handler; // 检查方法上的权限注解 if (method.hasMethodAnnotation(AllowAnonymous.class)) { return true; } // 获取当前用户 User user getUserFromRequest(request); if (user null) { response.sendError(401, 认证失败); return false; } // 检查权限 String permission method.getMethodAnnotation(RequirePermission.class).value(); if (!permissionService.check(user, permission)) { response.sendError(403, 权限不足); return false; } return true; } }配套的权限注解Retention(RetentionPolicy.RUNTIME) Target(ElementType.METHOD) public interface RequirePermission { String value(); // 权限标识 } Retention(RetentionPolicy.RUNTIME) Target({ElementType.METHOD, ElementType.TYPE}) public interface AllowAnonymous { }使用示例RestController RequestMapping(/user) public class UserController { GetMapping(/profile) RequirePermission(user:read) public ResponseEntity getUserProfile() { // ... } PostMapping RequirePermission(user:create) public ResponseEntity createUser() { // ... } }4. 进阶防护数据级权限控制4.1 水平越权终极方案前面介绍的方法解决了功能入口的权限控制但数据级别的水平越权需要额外处理。推荐几种实践方案方案一SQL自动注入用户IDRepository public class OrderRepository { Query(SELECT o FROM Order o WHERE o.id :id AND o.userId :userId) Order findByIdAndUser(Param(id) Long id, Param(userId) Long userId); }方案二AOP自动过滤Aspect Component public class DataPermissionAspect { Around(execution(* com..repository.*.find*(..))) public Object addDataFilter(ProceedingJoinPoint joinPoint) throws Throwable { // 从上下文中获取当前用户 User user SecurityContext.getCurrentUser(); // 修改查询参数 Object[] args joinPoint.getArgs(); args addUserCondition(args, user.getId()); return joinPoint.proceed(args); } }4.2 权限缓存优化频繁的权限检查可能成为性能瓶颈。我的经验是采用多级缓存策略本地缓存使用Caffeine缓存用户权限列表分布式缓存Redis存储热点权限数据缓存失效当用户权限变更时通过消息队列通知各节点Service public class PermissionService { Autowired private RedisTemplateString, Object redisTemplate; private final CacheLong, SetString localCache Caffeine.newBuilder() .expireAfterWrite(10, TimeUnit.MINUTES) .maximumSize(10_000) .build(); public boolean checkPermission(Long userId, String permission) { // 1. 查本地缓存 SetString permissions localCache.getIfPresent(userId); if(permissions null) { // 2. 查Redis permissions (SetString)redisTemplate.opsForValue() .get(user:perms: userId); if(permissions null) { // 3. 查数据库 permissions permissionRepository.findByUserId(userId); redisTemplate.opsForValue().set( user:perms: userId, permissions, 1, TimeUnit.HOURS ); } localCache.put(userId, permissions); } return permissions.contains(permission); } }5. 安全开发最佳实践在多年项目经验中我总结了这些黄金法则最小权限原则默认拒绝所有请求只开放必要权限前端非安全永远不要依赖前端隐藏按钮或菜单来做权限控制权限集中管理建立统一的权限服务避免分散校验敏感操作日志记录所有权限变更和敏感操作定期权限审计每月检查一次用户权限分配情况对于新项目我建议从一开始就集成Spring Security框架。虽然学习曲线较陡但它提供了完善的权限控制体系。一个基础配置示例Configuration EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers(/public/**).permitAll() .antMatchers(/admin/**).hasRole(ADMIN) .anyRequest().authenticated() .and() .formLogin() .loginPage(/login) .defaultSuccessUrl(/) .and() .rememberMe() .key(uniqueAndSecret) .tokenValiditySeconds(86400); } }对于已经上线的老项目可以采取渐进式改造策略先在最外层加全局过滤器逐步为每个Controller添加细粒度权限控制最后实现数据级权限控制在微服务架构下建议将权限服务独立部署通过JWT令牌传递用户权限信息。网关层可以做初步的权限校验各微服务再做细粒度控制。