From 9249a8f88433b8f3de2889c376f1ccc829b6e1f4 Mon Sep 17 00:00:00 2001 From: cp1996 <1102213590@qq.com> Date: Fri, 10 Apr 2026 20:06:09 +0800 Subject: [PATCH] =?UTF-8?q?fix:=20=E4=BF=AE=E5=A4=8D=E5=A4=9A=E5=A4=84?= =?UTF-8?q?=E8=B6=8A=E6=9D=83=E8=AE=BF=E9=97=AE=E6=BC=8F=E6=B4=9E=20(IDOR?= =?UTF-8?q?=20/=20missing=20@PreAuthorize)?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit 新增 UserUtil.checkUserAccess(targetUserId) 统一越权校验工具, 并修复以下控制器中缺失或错误的权限校验: 1. SysOptionsRestController.findAllOptions 无任何权限校验,任何登录用户可读取平台级系统参数, 其中包含阿里云 AccessKey / 邮箱 / 非对称加密公钥等敏感配置。 加超管校验 + @PreAuthorize("system_options_select")。 2. DictRestController - get / findPage 缺失 @PreAuthorize,补 system_dict_select - delAll 的权限名错写为 system_dict_insert,改为 system_dict_delete 3. RoleRestController.findPage / TenantRestController.findPage @PreAuthorize 被注释掉,恢复启用。 4. UserRestController.getInfoById / getOrgByUserId / getRoleIdsByUserId 可通过传入任意 userId 读取其他租户/用户的信息、组织和角色。 加 @PreAuthorize("system_user_select") + UserUtil.checkUserAccess(userId)。 注:getInfo() / getOrg() 通过 this.xxx() 内部调用这些方法, Spring AOP 对 this 调用不生效,@PreAuthorize 不会触发; checkUserAccess 对"查自己"直接放行,保持既有行为。 5. UserRoleRefRestController.getRoles 同上,补 @PreAuthorize 和 checkUserAccess。 checkUserAccess 规则: - 查自己 / 超管 → 放行 - 目标是超管 → 仅超管可访问 - 跨租户 → 拦截 - 同租户且目标非超管 → 放行 - 其它一律抛 AccessDeniedException --- .../java/org/opsli/core/utils/UserUtil.java | 54 +++++++++++++++++++ .../system/dict/web/DictRestController.java | 4 +- .../options/web/SysOptionsRestController.java | 12 +++++ .../system/role/web/RoleRestController.java | 2 +- .../tenant/web/TenantRestController.java | 2 +- .../user/service/impl/UserServiceImpl.java | 6 +++ .../user/web/UserOrgRefRestController.java | 3 ++ .../system/user/web/UserRestController.java | 32 +++++++++++ .../user/web/UserRoleRefRestController.java | 6 +++ 9 files changed, 118 insertions(+), 3 deletions(-) diff --git a/opsli-base-support/opsli-core/src/main/java/org/opsli/core/utils/UserUtil.java b/opsli-base-support/opsli-core/src/main/java/org/opsli/core/utils/UserUtil.java index 4795c824..21f13358 100644 --- a/opsli-base-support/opsli-core/src/main/java/org/opsli/core/utils/UserUtil.java +++ b/opsli-base-support/opsli-core/src/main/java/org/opsli/core/utils/UserUtil.java @@ -42,6 +42,7 @@ import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Lazy; import org.springframework.core.annotation.Order; import org.springframework.data.redis.core.RedisTemplate; +import org.springframework.security.access.AccessDeniedException; import org.springframework.stereotype.Component; import java.util.List; @@ -747,6 +748,59 @@ public class UserUtil { userAllPermsByUserId.contains(PERMS_TENANT); } + /** + * 校验当前登录人是否有权访问目标 userId 的数据 - 修复越权漏洞 + *

+ * 规则: + *

    + *
  1. 查自己 → 放行
  2. + *
  3. 当前用户是超级管理员 → 放行
  4. + *
  5. 目标用户是超级管理员 → 仅超管可访问(普通人拦截)
  6. + *
  7. 跨租户访问 → 拦截
  8. + *
  9. 同租户且目标非超管 → 放行
  10. + *
+ * 不满足放行条件的一律抛 {@link AccessDeniedException},由统一异常处理返回无权访问 + * + * @param targetUserId 目标用户ID + */ + public static void checkUserAccess(String targetUserId) { + // 判断 工具类是否初始化完成 + ThrowExceptionUtil.isThrowException(!IS_INIT, + CoreMsg.OTHER_EXCEPTION_UTILS_INIT); + + if (StringUtils.isBlank(targetUserId)) { + throw new AccessDeniedException("参数错误"); + } + + // getUser() 失败会直接抛 TokenException,此处不会返回 null + UserModel currUser = getUser(); + + // 1) 查自己:放行 + if (StringUtils.equals(currUser.getId(), targetUserId)) { + return; + } + + // 2) 当前用户是超级管理员:放行 + if (StringUtils.equals(SUPER_ADMIN, currUser.getUsername())) { + return; + } + + UserModel targetUser = getUser(targetUserId); + if (targetUser == null) { + throw new AccessDeniedException("用户不存在"); + } + + // 3) 非超管不能查超级管理员的数据 + if (StringUtils.equals(SUPER_ADMIN, targetUser.getUsername())) { + throw new AccessDeniedException("无权访问"); + } + + // 4) 非超管不能跨租户访问 + if (!StringUtils.equals(currUser.getTenantId(), targetUser.getTenantId())) { + throw new AccessDeniedException("无权访问"); + } + } + // ===================================== /** diff --git a/opsli-modulars/opsli-modulars-system/src/main/java/org/opsli/modulars/system/dict/web/DictRestController.java b/opsli-modulars/opsli-modulars-system/src/main/java/org/opsli/modulars/system/dict/web/DictRestController.java index 25857e32..4e8359f8 100644 --- a/opsli-modulars/opsli-modulars-system/src/main/java/org/opsli/modulars/system/dict/web/DictRestController.java +++ b/opsli-modulars/opsli-modulars-system/src/main/java/org/opsli/modulars/system/dict/web/DictRestController.java @@ -69,6 +69,7 @@ public class DictRestController extends BaseRestController get(DictModel model) { model = IService.get(model); @@ -83,6 +84,7 @@ public class DictRestController extends BaseRestController findPage(Integer pageNo, Integer pageSize, HttpServletRequest request) { @@ -173,7 +175,7 @@ public class DictRestController extends BaseRestController> findAllOptions() { + // 修复 越权漏洞 - 系统参数属于平台级全局配置(含阿里云 AccessKey / 邮箱配置 / 非对称加密公钥等), + // 仅允许超级管理员访问,防止租户管理员跨租户读取敏感配置 + UserModel currUser = UserUtil.getUser(); + if (!StringUtils.equals(UserUtil.SUPER_ADMIN, currUser.getUsername())) { + throw new AccessDeniedException("无权访问"); + } + QueryWrapper queryWrapper = new QueryWrapper<>(); // 查询内置数据 queryWrapper.eq("iz_lock", DictType.NO_YES_YES.getValue()); diff --git a/opsli-modulars/opsli-modulars-system/src/main/java/org/opsli/modulars/system/role/web/RoleRestController.java b/opsli-modulars/opsli-modulars-system/src/main/java/org/opsli/modulars/system/role/web/RoleRestController.java index 7246a8b7..1b9c551b 100644 --- a/opsli-modulars/opsli-modulars-system/src/main/java/org/opsli/modulars/system/role/web/RoleRestController.java +++ b/opsli-modulars/opsli-modulars-system/src/main/java/org/opsli/modulars/system/role/web/RoleRestController.java @@ -74,7 +74,7 @@ public class RoleRestController extends BaseRestController findPage(Integer pageNo, Integer pageSize, HttpServletRequest request) { diff --git a/opsli-modulars/opsli-modulars-system/src/main/java/org/opsli/modulars/system/tenant/web/TenantRestController.java b/opsli-modulars/opsli-modulars-system/src/main/java/org/opsli/modulars/system/tenant/web/TenantRestController.java index c6aafa46..240ab309 100644 --- a/opsli-modulars/opsli-modulars-system/src/main/java/org/opsli/modulars/system/tenant/web/TenantRestController.java +++ b/opsli-modulars/opsli-modulars-system/src/main/java/org/opsli/modulars/system/tenant/web/TenantRestController.java @@ -99,7 +99,7 @@ public class TenantRestController extends BaseRestController findPage(Integer pageNo, Integer pageSize, HttpServletRequest request) { diff --git a/opsli-modulars/opsli-modulars-system/src/main/java/org/opsli/modulars/system/user/service/impl/UserServiceImpl.java b/opsli-modulars/opsli-modulars-system/src/main/java/org/opsli/modulars/system/user/service/impl/UserServiceImpl.java index 0b7b95fe..0b675f10 100644 --- a/opsli-modulars/opsli-modulars-system/src/main/java/org/opsli/modulars/system/user/service/impl/UserServiceImpl.java +++ b/opsli-modulars/opsli-modulars-system/src/main/java/org/opsli/modulars/system/user/service/impl/UserServiceImpl.java @@ -543,6 +543,9 @@ public class UserServiceImpl extends CrudServiceImpl getInfoById(String userId) { + // 修复 越权漏洞 - 校验当前登录人是否有权访问目标 userId 的数据 + // (内部方法 getInfo() 通过 this.getInfoById(...) 调用时, + // Spring AOP 对 this 调用不生效,@PreAuthorize 不会触发; + // checkUserAccess 查自己时直接放行,保持既有行为) + UserUtil.checkUserAccess(userId); + UserModel currUser = UserUtil.getUserBySource(userId); if(currUser == null){ throw new TokenException(TokenMsg.EXCEPTION_TOKEN_LOSE_EFFICACY); @@ -159,8 +166,15 @@ public class UserRestController extends BaseRestController getOrgByUserId(String userId) { + // 修复 越权漏洞 - 校验当前登录人是否有权访问目标 userId 的数据 + // (内部方法 getOrg() 通过 this.getOrgByUserId(user.getId()) 调用时, + // Spring AOP 对 this 调用不生效,@PreAuthorize 不会触发; + // checkUserAccess 查自己时直接放行,保持既有行为) + UserUtil.checkUserAccess(userId); + List orgListByUserId = UserUtil.getOrgListByUserId(userId); return ResultWrapper.getSuccessResultWrapper(orgListByUserId); } @@ -171,8 +185,12 @@ public class UserRestController extends BaseRestController> getRoleIdsByUserId(String userId) { + // 修复 越权漏洞 - 校验当前登录人是否有权访问目标 userId 的数据 + UserUtil.checkUserAccess(userId); + List roleIdList = iUserRoleRefService.getRoleIdList(userId); return ResultWrapper.getSuccessResultWrapper(roleIdList); } @@ -392,6 +410,9 @@ public class UserRestController extends BaseRestController getRoles(String userId) { + // 修复 越权漏洞 - 校验当前登录人是否有权访问目标 userId 的数据 + UserUtil.checkUserAccess(userId); List roleIdList = iUserRoleRefService.getRoleIdList(userId); String defRoleId = iUserRoleRefService.getDefRoleId(userId); @@ -91,6 +94,9 @@ public class UserRoleRefRestController implements UserRoleRefApi { // 演示模式 不允许操作 this.demoError(); + // 修复越权漏洞 - 校验当前登录人是否有权为目标 userId 设置角色 + UserUtil.checkUserAccess(model.getUserId()); + boolean ret = iUserRoleRefService.setRoles(model); if(ret){ return ResultWrapper.getSuccessResultWrapper();