Legendshop 电商系统安全系统.pdfVIP

Legendshop 安装部署手册 Legendshop 电商系统安全系统 1. 概述 Legendshop 电商系统采用 Spring security 进行安全防护，并且在系统级别做了安 全防范措施。 2. 权限控制 URL 的访问权限 LegendShop 电商系统扩展了 Spring security。将用户分为普通用户（买家），商 家（包括子账号，跟买家同一个登录入口），管理员。每个用户拥有不同的角色，每 个角色拥有不同的权限，其关系如下： 前端用户的角色和权限列表 角色 名称说明 对应的权限 ROLE_USER 普通用户 F_USER ROLE_SUPPLIER 商家 F_SUPPLIER 只有拥有 ROLE_USER 角色的用户才可以访问用户中心(以/p 开头的 url)，只有拥有了 ROLE_SUPPLIER 角色才可以访问卖家中心(以/s 开头的 url)。 后端用户的角色和权限列表 1 / 4 Legendshop 安装部署手册 角色 名称说明 对应的权限 ROLE_SUPERVISOR 超级管理员 拥有后台所有权限 ROLE_DATA_MANAGER 数据管理员 F_VIEW_ALL_DATA 查看所有数据的权限 ROLE_SYSTEM 系统管理员 查看系统管理相关 的菜单 角色对应的权限可以自定义，也可以编辑和修改权限，只有通过后台登录页面登录的 管理员和拥有对应菜单的访问权限才可以访问。 3. 防止 SQL 注入攻击 在 dao 层面杜绝了拼接 SQL 的 API，需要带入参数并代替 SQL 中的“？”进行 Prestatement 的操作，例如 /** *查询 返回 Long 类型的记录，一般用于查询总记录数 */ public long getLongResult(String sql, Object... args) /** * 查找单个对象，必须要返回对象，否则报错 */ public T T load(String sql, ClassT clazz, Object... args) /** * 查询列表对象 */ public T ListT query(String sql, ClassT clazz, Object... args) 2 / 4 Legendshop 安装部署手册 4. 防止 XSS 攻击 在关键位置例如商品有哪些信誉好的足球投注网站等加入 xss 过滤器，把一些特殊字符给过滤掉。 5. 数据库密码防护措施 在数据库中，密码是采用 MD5 + salt 方式进行加密，每个用户的 salt 值都不一样， 这样使用更加难破解密码 6. JSP 安全 业务逻辑的 JSP 文件基本上是位于 WEB-INFO 下面，使得杜绝从系统外部直接访问 JSP，来达到攻击系统的可能。 7. 支付密码 用户的预存款必须要启用了支付密码才可以使用，在使用的过程中必须要输入支付密 码，防止用户密码泄露之后乱用预存款 8. 防范 DDOS 拒绝服务攻击 如果系统是部署在阿里云上，阿里云会自动带上防 DD