安全路透社
当前位置:安全路透社 > 网络转载 > 正文

安全开发Java动态代理

*本文作者:碳烤鱿鱼丝 

关于安全开发的一些思考

之前面试某宝的时候,某人问过我,如果解决开发不懂安全的问题,就比如说SSRF,XEE这样的漏洞,一旦发生安全事故,应该立刻去响应,并帮助开发人员修复漏洞。难道写一个jar包,然后丢给数以百计的业务去调用?还是你去手把手的去教给开发,应该如何修改代码?!

其实在java动态代理中,就已经解决了这种问题,本人将从以下几个方面,帮助大家理解动态代理的知识。对于懂java的“安全牛”来说这是一件很简单的事情,本文目的主要是记录下解决问题的过程。

  • 静态代理
  • jdk动态代理
  • CGLIB代理
  • Spring AOP

这里用到的jar包的下载地址如下:https://github.com/cglib/cglib/releases/download/RELEASE_3_2_4/cglib-nodep-3.2.4.jar

为什么使用动态代理

作为在乙方工作的“安全工程狮”有时候想一下还是幸福的,最近通过跟甲方的某狮子交流,发现业务量很大的情况下,一旦发生了安全问题,解决起来真是个麻烦的事情,需要收集资产,要出方案,最难的是教会开发修补漏洞,仔细思考了这个问题,遂想到了java动态代理,周末的时候研究了一下,现在分享给大家。设想一下,如果你挨个去教给开发应该怎么去修复漏洞,那么24小时之内完成应急是根本不可能完成的。比较高效的方法是,安全的逻辑都由安全部门实现,我们只需要留给开发一个接口供他们去使用就ok。那怎么样才可能通过,不修改源代码的情况下,增加业务的安全性,就是通过今天说的java动态代理。

静态代理

定义接口:

public interface Hello1 {
public void say(String name);
}

实现类:

public class HelloImpl implements Hello1{
@Override
public void say(String name) {
    // TODO Auto-generated method stub
    System.out.println("Hello"+name);
}
}

hello1代理类: public class HelloProxy implements Hello1{ private Hello1 hello;

public HelloProxy(){
    hello=new HelloImpl();
}

@Override
public void say(String name){
    before();
    hello.say(name);
    after();
}
private void after() {
    // TODO Auto-generated method stub
    System.out.println("after");

}
private void before() {
    // TODO Auto-generated method stub
    System.out.println("before");

}
} 

主函数:

public static void main(String[] args){     
    Hello1 helloProxy=new HelloProxy();
    helloProxy.say("Jack");
}

由上面的过程可以看得出来,我们通过hello1的代理类,增加了say()函数,通过代理,实现了before和after函数。这就是我要说的代理,只不过这事静态代理,通用性差,修改起来麻烦。下面说动态代理。

jdk动态代理

public class DynamicProxy2 implements InvocationHandler {
public Object target;
@SuppressWarnings("unchecked")
public <T> T getProxy(){
    return (T)Proxy.newProxyInstance(target.getClass().getClassLoader(), 
            target.getClass().getInterfaces(), this);
}
public DynamicProxy2(Object target) {
    // TODO Auto-generated constructor stub
    this.target=target;
}
@Override
public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
    // TODO Auto-generated method stub
    before();
    Object result=method.invoke(target, args);
    after();;
    return result;
}
private void after() {
    // TODO Auto-generated method stub
    System.out.println("after");
}
private void before() {
    // TODO Auto-generated method stub
    System.out.println("before");
}

主函数:

public static void main(String[] args) {
    // TODO Auto-generated method stub
    DynamicProxy2 dynamicProxy2 = new DynamicProxy2(new HelloImpl());
    Hello1 helloproxy= dynamicProxy2.getProxy();
    helloproxy.say("hi java");
}

这里可以看到通过jdk动态代理,首先实现InvocationHandler接口,然后实现了invoke方法。从主函数中可以看到,这里我们并不关心你的类是什么,你的接口是什么,只要你把实现接口的类传递进来,就可以了,这个方案看起来是很不错的。好像可以解决一开始的需求,但是jdk动态代理只能代理接口,而不能代理没有接口的类,这种情况该怎么解决?

CGLIB动态代理

public class CGLibProxy implements MethodInterceptor {  
@SuppressWarnings("unchecked")
public<T> T getProxy(Class<T> cls){
    return (T) Enhancer.create(cls, this);
}
@Override
public Object intercept(Object obj, Method method, Object[] args, MethodProxy proxy) throws Throwable {
    // TODO Auto-generated method stub
    before();
    Object result=proxy.invokeSuper(obj, args);
    after();
    return result;
}
private void after() {
    // TODO Auto-generated method stub
    System.out.println("after");
}
private void before() {
    // TODO Auto-generated method stub
    System.out.println("before");   
}}

主函数:

    public static void main(String[] args) {
    // TODO Auto-generated method stub
    CGLibProxy cglibproxy=new CGLibProxy();
    Hello1 helloproxy=cglibproxy.getProxy(HelloImpl.class);
    helloproxy.say("asd");
}

这里需要引入开篇时候的那个jar包。CGLIB可以代理没有接口的类,这就弥补了jdk动态代理的不足。通过jdk,cglib动态代理,就可以解决以上遇到的问题。

*本文作者:碳烤鱿鱼丝 

未经允许不得转载:安全路透社 » 安全开发Java动态代理

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册