[发明专利]一种防止越权访问的方法、装置、计算机设备及存储介质

说明书

本申请涉及信息安全技术，揭露了一种防止越权访问的方法、装置、计算机设备及存储介质，包括通过预设的拦截器拦截用户访问请求；将用户对应的Session从数据库提入缓存中，从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限；若拥有所述用户权限，则放行所述用户请求并接收入参，所述入参包括申请号；验证所述用户是否拥有访问所述入参中申请号对应数据的权限；当验证通过时，调出所述申请号对应的数据。本申请还涉及区块链技术，各用户对应的角色权限数据存储于区块链中。本申请通过对访问请求进行权限校验和数据校验两次校验，有效防止越权访问，提高了网络安全；并且将Session提入缓存中，能实现权限的快速校对。

技术领域

本申请涉及信息安全技术领域，尤其涉及一种防止越权访问的方法、装置、计算机设备及存储介质。

背景技术

随着互联网应用的越来越广泛，互联网安全问题成了人们日益关注的问题。在现有的多种威胁网络安全的攻击方法中，跨站请求伪造(CSRF)攻击是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。攻击者只要借助少许的社会工程诡计，例如通过电子邮件或者是聊天软件发送的链接，攻击者就能迫使一个Web应用程序的用户去执行攻击者选择的操作。在现有技术中，其方案仅仅在菜单、按钮上做了权限控制，导致恶意用户只要猜测其他管理页面的URL或者敏感的参数信息，就可以访问或控制其他角色拥有的数据或页面。因此，如何有效拦截恶意访问请求，提高网络安全成为了亟待解决的问题。

发明内容

本申请提供了一种防止越权访问的方法、装置、计算机设备及存储介质，以解决现有技术中越权访问数据的问题。

为解决上述问题，本申请提供了一种防止越权访问的方法，包括：

通过预设的拦截器拦截用户访问请求；

将用户对应的Session从数据库提入缓存中，从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限；

若拥有所述用户权限，则放行所述用户请求并接收入参，所述入参包括申请号；

验证所述用户是否拥有访问所述入参中申请号对应数据的权限；

当验证通过时，调出所述申请号对应的数据。

进一步的，所述通过预设的拦截器拦截用户访问请求之前，还包括：

利用SpringMVC构架建立所述拦截器，并将所述拦截器进行部署，以拦截和分发所述用户访问请求。

进一步的，在所述将用户对应的Session从数据库提入缓存中之前，还包括：

将Cookie的Secure和HttpOnly属性都设置为true。

进一步的，所述将用户对应的Session从数据库提入缓存中，从缓存中调用所述Session来判断所述用户是否拥有所述用户访问请求对应的用户权限包括：

接收用户登录信息；

判断所述用户登录信息是否正确；

若用户登录信息正确，则将用户对应的Session从数据库提入缓存中；

查询所述用户访问请求的URL对应的用户权限；

从缓存中调用所述Session中的角色列表，将所述用户权限与所述Session中的角色权限进行比对；

若比对成功，则确定所述用户拥有所述用户访问请求对应的用户权限。

再进一步的，在所述查询所述用户访问请求的URL对应的用户权限之前，还包括：

校验所述用户访问请求的URL和HTTP中的referer中记录的源地址是否一致；