自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

巧用自定義注解,一行代碼搞定審計日志,你學(xué)會了嗎?

作者:鴨血粉絲Tang
開發(fā) 項目管理
最常見的就是電商系統(tǒng)和支付系統(tǒng),尤其是需求旺季的時候,經(jīng)常有黑客專門攻擊這些電商系統(tǒng),導(dǎo)致大量服務(wù)宕機,影響用戶正常下單。

一、簡介

任何一個軟件系統(tǒng),都不可避免的會碰到【信息安全】這個詞,尤其是對于剛?cè)胄械男率?,比如我,我剛?cè)胄械臅r候,領(lǐng)導(dǎo)讓我做一個數(shù)據(jù)報表導(dǎo)出功能,我就按照他的意思去做,至于誰有權(quán)限操作導(dǎo)出,導(dǎo)出的數(shù)據(jù)包含敏感信息應(yīng)該怎么處理,后端接口是不是做了權(quán)限控制防止惡意抓取,這些問題我基本上不關(guān)心,我只想一心一意盡快實現(xiàn)需求,然后順利完成任務(wù)交付。

實際上,隨著工作閱歷的增加,你會越來越能感覺到,實現(xiàn)業(yè)務(wù)方提的需求,只是完成了軟件系統(tǒng)研發(fā)中的【能用】要求;服務(wù)是否【可靠】可能需要從架構(gòu)層和運維方面去著手解決;至于是否【安全】、更多的需要從【信息安全】這個角度來思考,尤其是當(dāng)我們的軟件系統(tǒng)面對外界的惡意干擾和攻擊時,是否依然能保障用戶正常使用,對于大公司,這個可能是頭等大事,因為可能一個很小很小的漏洞,一不小心可能會給公司帶來幾千萬的損失!

最常見的就是電商系統(tǒng)和支付系統(tǒng),尤其是需求旺季的時候,經(jīng)常有黑客專門攻擊這些電商系統(tǒng),導(dǎo)致大量服務(wù)宕機,影響用戶正常下單。

像這樣的攻擊案例每天都有,有的公司甚至直接向黑客氣妥,給錢消災(zāi)!

但是這種做法肯定不是長久之計,最重要的還是主動提升系統(tǒng)的【安全】防御系數(shù)。

由于信息安全所涉及的要求內(nèi)容眾多,今天,我在這里僅僅向大家介紹其中關(guān)于【審計日志】的要求和具體應(yīng)用,后續(xù)也會向大家介紹其他的要求。

【審計日志】,簡單的說就是系統(tǒng)需要記錄誰,在什么時間,對什么數(shù)據(jù),做了什么樣的更改!這個日志數(shù)據(jù)是極其珍貴的,后面如果因業(yè)務(wù)操作上出了問題,可以很方便進行操作回查。

同時,任何一個 IT 系統(tǒng),如果要過審,這項任務(wù)基本上也是必審項!

好了,需求我們清楚了,具體應(yīng)用看下面!

二、實踐

實現(xiàn)【審計日志】這個需求,我們有一個很好的技術(shù)解決方案,就是使用 Spring 的切面編程,創(chuàng)建一個代理類,利用afterReturning和afterThrowing方法來實現(xiàn)日志的記錄。

具體實現(xiàn)步驟如下

  • 先創(chuàng)建審計日志表
CREATE TABLE `tb_audit_log` (
  `id` bigint(20) NOT NULL  COMMENT '審計日志,主鍵ID',
  `table_name` varchar(500) DEFAULT '' COMMENT '操作的表名,多個用逗號隔開',
  `operate_desc` varchar(200) DEFAULT '' COMMENT '操作描述',
  `request_param` varchar(200) DEFAULT '' COMMENT '請求參數(shù)',
  `result` int(10) COMMENT '執(zhí)行結(jié)果,0:成功,1:失敗',
  `ex_msg` varchar(200) DEFAULT '' COMMENT '異常信息',
  `user_agent` text COLLATE utf8mb4_unicode_ci COMMENT '用戶代理信息',
  `ip_address` varchar(32) NOT NULL DEFAULT '' COMMENT '操作時設(shè)備IP',
  `ip_address_name` varchar(32) DEFAULT '' COMMENT '操作時設(shè)備IP所在地址',
  `operate_time` datetime NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT '操作時間',
  `operate_user_id` varchar(32) DEFAULT '' COMMENT '操作人ID',
  `operate_user_name` varchar(32) DEFAULT '' COMMENT '操作人',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci COMMENT='審計日志表';
  • 然后編寫一個注解類
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.TYPE,ElementType.METHOD})
@Documented
public @interface SystemAuditLog {

    /**
     * 操作了的表名
     * @return
     */
    String tableName() default "";

    /**
     * 日志描述
     * @return
     */
    String description() default "";

}
  • 接著編寫一個代理類
@Component
@Aspect
public class SystemAuditLogAspect {

    @Autowired
    private SystemAuditLogService systemAuditLogService;

    /**
     * 定義切入點,切入所有標注此注解的類和方法
     */
    @Pointcut("@within(com.example.demo.core.annotation.SystemAuditLog)|| @annotation(com.example.demo.core.annotation.SystemAuditLog)")
    public void methodAspect() {
    }

    /**
     * 方法調(diào)用前攔截
     */
    @Before("methodAspect()")
    public void before(){
        System.out.println("SystemAuditLog代理 -> 調(diào)用方法執(zhí)行之前......");
    }

    /**
     * 方法調(diào)用后攔截
     */
    @After("methodAspect()")
    public void after(){
        System.out.println("SystemAuditLog代理 -> 調(diào)用方法執(zhí)行之后......");
    }

    /**
     * 調(diào)用方法結(jié)束攔截
     */
    @AfterReturning(value = "methodAspect()")
    public void afterReturning(JoinPoint joinPoint) throws Exception {
        System.out.println("SystemAuditLog代理 -> 調(diào)用方法結(jié)束攔截......");
        //封裝數(shù)據(jù)
        AuditLog entity = warpAuditLog(joinPoint);
        entity.setResult(0);

        //插入到數(shù)據(jù)庫
        systemAuditLogService.add(entity);
    }


    /**
     * 拋出異常攔截
     */
    @AfterThrowing(value="methodAspect()", throwing="ex")
    public void afterThrowing(JoinPoint joinPoint, Exception ex) throws Exception {
        System.out.println("SystemAuditLog代理 -> 拋出異常攔截......");
        //封裝數(shù)據(jù)
        AuditLog entity = warpAuditLog(joinPoint);
        entity.setResult(1);
        //封裝錯誤信息
        entity.setExMsg(ex.getMessage());

        //插入到數(shù)據(jù)庫
        systemAuditLogService.add(entity);
    }


    /**
     * 封裝插入實體
     * @param joinPoint
     * @return
     * @throws Exception
     */
    private AuditLog warpAuditLog(JoinPoint joinPoint) throws Exception {
        //獲取請求上下文
        HttpServletRequest request = getHttpServletRequest();
        //獲取注解上的參數(shù)值
        SystemAuditLog systemAuditLog = getServiceMethodDescription(joinPoint);
        //獲取請求參數(shù)
        Object requestObj = getServiceMethodParams(joinPoint);
        //封裝數(shù)據(jù)
        AuditLog auditLog = new AuditLog();
        auditLog.setId(SnowflakeIdWorker.getInstance().nextId());
        //從請求上下文對象獲取相應(yīng)的數(shù)據(jù)
        if(Objects.nonNull(request)){
            auditLog.setUserAgent(request.getHeader("User-Agent"));
            //獲取登錄時的ip地址
            auditLog.setIpAddress(IpAddressUtil.getIpAddress(request));
            //調(diào)用外部接口,獲取IP所在地
            auditLog.setIpAddressName(IpAddressUtil.getLoginAddress(auditLog.getIpAddress()));
        }
        //封裝操作的表和描述
        if(Objects.nonNull(systemAuditLog)){
            auditLog.setTableName(systemAuditLog.tableName());
            auditLog.setOperateDesc(systemAuditLog.description());
        }
        //封裝請求參數(shù)
        auditLog.setRequestParam(JSON.toJSONString(requestObj));
        //封裝請求人
        if(Objects.nonNull(requestObj) && requestObj instanceof BaseRequest){
            auditLog.setOperateUserId(((BaseRequest) requestObj).getLoginUserId());
            auditLog.setOperateUserName(((BaseRequest) requestObj).getLoginUserName());
        }
        auditLog.setOperateTime(new Date());
        return auditLog;
    }


    /**
     * 獲取當(dāng)前的request
     * 這里如果報空指針異常是因為單獨使用spring獲取request
     * 需要在配置文件里添加監(jiān)聽
     *
     * 如果是spring項目,通過下面方式注入
     * <listener>
     * <listener-class>
     * org.springframework.web.context.request.RequestContextListener
     * </listener-class>
     * </listener>
     *
     * 如果是springboot項目,在配置類里面,通過下面方式注入
     * @Bean
     * public RequestContextListener requestContextListener(){
     *     return new RequestContextListener();
     * }
     * @return
     */
    private HttpServletRequest getHttpServletRequest(){
        RequestAttributes ra = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes sra = (ServletRequestAttributes)ra;
        HttpServletRequest request = sra.getRequest();
        return request;
    }

    /**
     * 獲取請求對象
     * @param joinPoint
     * @return
     * @throws Exception
     */
    private Object getServiceMethodParams(JoinPoint joinPoint) {
        Object[] arguments = joinPoint.getArgs();
        if(Objects.nonNull(arguments) && arguments.length > 0){
            return arguments[0];
        }
        return null;
    }


    /**
     * 獲取自定義注解里的參數(shù)
     * @param joinPoint
     * @return 返回注解里面的日志描述
     * @throws Exception
     */
    private SystemAuditLog getServiceMethodDescription(JoinPoint joinPoint) throws Exception {
        //類名
        String targetName = joinPoint.getTarget().getClass().getName();
        //方法名
        String methodName = joinPoint.getSignature().getName();
        //參數(shù)
        Object[] arguments = joinPoint.getArgs();
        //通過反射獲取示例對象
        Class targetClass = Class.forName(targetName);
        //通過實例對象方法數(shù)組
        Method[] methods = targetClass.getMethods();
        for(Method method : methods) {
            //判斷方法名是不是一樣
            if(method.getName().equals(methodName)) {
                //對比參數(shù)數(shù)組的長度
                Class[] clazzs = method.getParameterTypes();
                if(clazzs.length == arguments.length) {
                    //獲取注解里的日志信息
                    return method.getAnnotation(SystemAuditLog.class);
                }
            }
        }
        return null;
    }
}

最后,只需要在對應(yīng)的接口或者方法上添加審計日志注解即可

@RestController
@RequestMapping("api")
public class LoginController {

    /**
     * 用戶登錄,添加審計日志注解
     * @param request
     */
    @SystemAuditLog(tableName = "tb_user", description = "用戶登錄")
    @PostMapping("login")
    public void login(UserLoginDTO request){
        //登錄邏輯處理
    }
}
  • 相關(guān)的實體類
@Data
public class AuditLog {

    /**
     * 審計日志,主鍵ID
     */
    private Long id;

    /**
     * 操作的表名,多個用逗號隔開
     */
    private String tableName;

    /**
     * 操作描述
     */
    private String operateDesc;

    /**
     * 請求參數(shù)
     */
    private String requestParam;

    /**
     * 執(zhí)行結(jié)果,0:成功,1:失敗
     */
    private Integer result;

    /**
     * 異常信息
     */
    private String exMsg;

    /**
     * 請求代理信息
     */
    private String userAgent;

    /**
     * 操作時設(shè)備IP
     */
    private String ipAddress;

    /**
     * 操作時設(shè)備IP所在地址
     */
    private String ipAddressName;

    /**
     * 操作時間
     */
    private Date operateTime;


    /**
     * 操作人ID
     */
    private String operateUserId;

    /**
     * 操作人
     */
    private String operateUserName;
}
public class BaseRequest implements Serializable {

    /**
     * 請求token
     */
    private String token;

    /**
     * 登錄人ID
     */
    private String loginUserId;

    /**
     * 登錄人姓名
     */
    private String loginUserName;

    public String getToken() {
        return token;
    }

    public void setToken(String token) {
        this.token = token;
    }

    public String getLoginUserId() {
        return loginUserId;
    }

    public void setLoginUserId(String loginUserId) {
        this.loginUserId = loginUserId;
    }

    public String getLoginUserName() {
        return loginUserName;
    }

    public void setLoginUserName(String loginUserName) {
        this.loginUserName = loginUserName;
    }
}

@Data
public class UserLoginDTO extends BaseRequest {

    /**
     * 用戶名
     */
    private String userName;

    /**
     * 密碼
     */
    private String password;
}

三、小結(jié)

整個程序的實現(xiàn)過程,主要使用了 Spring AOP 特性,對特定方法進行前、后攔截,從而實現(xiàn)業(yè)務(wù)方的需求。

在下篇文章中,我們會詳細介紹 Spring AOP 的使用!

責(zé)任編輯:武曉燕 來源: Java極客技術(shù)
架構(gòu)
相關(guān)推薦

2022-02-17 07:10:39

Nest自定義注解

2022-06-27 08:16:34

JSON格式序列化

2024-02-19 07:52:40

CSSJS屬性

2024-08-26 08:27:18

2022-08-08 08:17:43

類隔離加載器自定義類

2024-11-27 11:07:20

vue計算屬性

2023-11-27 07:33:55

2024-01-18 09:38:00

Java注解JDK5

2023-11-01 07:28:31

MySQL日志維護

2022-12-22 08:14:54

2022-11-08 08:45:30

Prettier代碼格式化工具

2024-09-26 09:10:08

2024-01-02 12:05:26

Java并發(fā)編程

2023-08-01 12:51:18

WebGPT機器學(xué)習(xí)模型

2023-01-10 08:43:15

定義DDD架構(gòu)

2024-02-04 00:00:00

Effect數(shù)據(jù)組件

2023-07-26 13:11:21

ChatGPT平臺工具

2024-01-19 08:25:38

死鎖Java通信

2022-01-17 07:50:37

Go代碼規(guī)范

2023-04-04 09:13:15

點贊
收藏

51CTO技術(shù)棧公眾號