安全开发Java动态代理

  关于安全开发的一些思考

  之前面试某宝的时候,某人问过我,如果解决开发不懂安全的问题,就比如说SSRF,XEE这样的漏洞,如果一旦发生,应该如果立刻去响应,并帮助开发人员修复漏洞,难道写一个jar包?然后丢给数以百计的业务去调用?还是你去手把手的去教给开发,应该如何修改代码!!

  其实在java动态代理中,就已经解决了这种问题,本人将从以下几个方面,帮助大家理解动态代理的知识。对于懂java的“安全牛”来说这是一件很简单的事情,本文目的主要是记录下解决问题的过程。

  静态代理

  jdk动态代理

  CGLIB代理

  Spring AOP

  

 

  为什么使用动态代理

  作为在乙方工作的“安全工程狮”有时候想一下还是幸福的,最近通过跟甲方的某狮子交流,发现业务量很大的情况下,一旦发生了安全问题,解决起来真是个麻烦的事情,需要收集资产,要出方案,最难的是教会开发修补漏洞,仔细思考了这个问题,遂想到了java动态代理,周末的时候研究了一下,现在分享给大家。设想一下,如果你挨个去教给开发应该怎么去修复漏洞,那么24小时之内完成应急是根本不可能完成的。比较高效的方法是,安全的逻辑都由安全部门实现,我们只需要留给开发一个接口供他们去使用就ok。那怎么样才可能通过,不修改源代码的情况下,增加业务的安全性,就是通过今天说的java动态代理。

  静态代理

  定义接口:

  public interface Hello1 {

  public void say(String name);

  }

  复制代码

  实现类:

  public class HelloImpl implements Hello1{

  @Override

  public void say(String name) {

  // TODO Auto-generated method stub

  System.out.println("Hello"+name);

  }

  }

  复制代码

  hello1代理类: public class HelloProxy implements Hello1{ private Hello1 hello;

  public HelloProxy(){

  hello=new HelloImpl();

  }

  @Override

  public void say(String name){

  before();

  hello.say(name);

  after();

  }

  private void after() {

  // TODO Auto-generated method stub

  System.out.println("after");

  }

  private void before() {

  // TODO Auto-generated method stub

  System.out.println("before");

  }

  }

  复制代码

  主函数:

  public static void main(String[] args){

  Hello1 helloProxy=new HelloProxy();

  helloProxy.say("Jack");

  }

  复制代码

  由上面的过程可以看得出来,我们通过hello1的代理类,增加了say()函数,通过代理,实现了before和after函数。这就是我要说的代理,只不过这事静态代理,通用性差,修改起来麻烦。下面说动态代理。

  jdk动态代理

  public class DynamicProxy2 implements InvocationHandler {

  public Object target;

  @SuppressWarnings("unchecked")

  public <T> T getProxy(){

  return (T)Proxy.newProxyInstance(target.getClass().getClassLoader(),

  target.getClass().getInterfaces(), this);

  }

  public DynamicProxy2(Object target) {

  // TODO Auto-generated constructor stub

  this.target=target;

  }

  @Override

  public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {

  // TODO Auto-generated method stub

  before();

  Object result=method.invoke(target, args);

  after();;

  return result;

  }

  private void after() {

  // TODO Auto-generated method stub

  System.out.println("after");

  }

  private void before() {

  // TODO Auto-generated method stub

  System.out.println("before");

  }

  复制代码

  主函数:

  public static void main(String[] args) {

  // TODO Auto-generated method stub

  DynamicProxy2 dynamicProxy2 = new DynamicProxy2(new HelloImpl());

  Hello1 helloproxy= dynamicProxy2.getProxy();

  helloproxy.say("hi java");

  }

  复制代码

  这里可以看到通过jdk动态代理,首先实现InvocationHandler接口,然后实现了invoke方法。从主函数中可以看到,这里我们并不关心你的类是什么,你的接口是什么,只要你把实现接口的类传递进来,就可以了,这个方案看起来是很不错的。好像可以解决一开始的需求,但是jdk动态代理只能代理接口,而不能代理没有接口的类,这种情况该怎么解决?

  CGLIB动态代理

  public class CGLibProxy implements MethodInterceptor {

  @SuppressWarnings("unchecked")

  public<T> T getProxy(Class<T> cls){

  return (T) Enhancer.create(cls, this);

  }

  @Override

  public Object intercept(Object obj, Method method, Object[] args, MethodProxy proxy) throws Throwable {

  // TODO Auto-generated method stub

  before();

  Object result=proxy.invokeSuper(obj, args);

  after();

  return result;

  }

  private void after() {

  // TODO Auto-generated method stub

  System.out.println("after");

  }

  private void before() {

  // TODO Auto-generated method stub

  System.out.println("before");

  }}

  复制代码

  主函数:

  public static void main(String[] args) {

  // TODO Auto-generated method stub

  CGLibProxy cglibproxy=new CGLibProxy();

  Hello1 helloproxy=cglibproxy.getProxy(HelloImpl.class);

  helloproxy.say("asd");

  }

  复制代码

  这里需要引入开篇时候的那个jar包。CGLIB可以代理没有接口的类,这就弥补了jdk动态代理的不足。通过jdk,cglib动态代理,就可以解决以上遇到的问题。

  来自:http://www.freebuf.com/articles/web/118334.html

posted @ 2017-07-12 10:36  安吉吉吉  阅读(133)  评论(0编辑  收藏  举报