越权访问

    ‌Broken Access Control(BAC)‌,即越权访问,它是Web应用程序中一种常见的漏洞,存在范围广、危害大的特性。

    举个例子

    比如说,我有4个表:doc(文档) 隶属于 book(书籍),book 隶属于shelf(书架),而shelf 表才跟 user(用户)有关联。

    登录用户,访问 类似于 https://xxx.com/book?book_id=1&doc_id=2 查看自己的文档。
    但是用户如果不小心输入不属于自己的 book_id和doc_id而越权访问或编辑其他人的文件改如何应对?

    当然我们可以在每次 crud 的时候都去多联表查询,也麻烦。
    能不能写一个中间件来统一鉴权?

    封装一个中间件

    封装一个service

    将检验的核心逻辑封起来,作为一个 service 或 util都可以

    import { PrismaClient } from '@prisma/client';

const prisma = new PrismaClient();
const docBelongUser = async (docId: number, userId: number) => {
    const doc = await prisma.doc.findFirst({
        where: {
            id: docId,
            book: {
                shelf: {
                    user_id: userId
                },
            },
        },
        select: { id: true },
    })
    if (!doc) {
        const err: any = new Error('权限不足或资源不存在')
        err.status = 403
        throw err
    }
}
export default docBelongUser;

    封装一个middleware

    import docBelongUser from '../utils/doc-belong-user.ts'

const checkDocOwnership = async (ctx, next) => {
    const userId = Number(ctx.state.user.id)
    const docId = Number(ctx.query.id)
    try {
        await docBelongUser(docId, userId)
        await next()
    } catch (e) {
        ctx.status = e.status;
        ctx.body = {
            msg: e.message
        }
    }
}
export default checkDocOwnership;

    使用此中间件

    const router = new Router({ prefix: '/doc' });
router.get('/',checkDocOwnership, async (ctx) => {
 // todo:查询并返回
});

    如果越权访问的,将直接返回错误的 403 http 请求,且内容为 {mag: "权限不足或资源不存在"}