- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我有一些包含如下方法的编译库:
public boolean foo(String userID) {
Class<?> ntSystemClass = Thread.currentThread().getContextClassLoader()
.loadClass("com.sun.security.auth.module.NTSystem");
Method getNameMethod = ntSystemClass.getMethod("getName", null);
Object ntSystem = ntSystemClass.newInstance();
String name = (String)getNameMethod.invoke(ntSystem, null);
boolean same=userID.equalsIgnoreCase(name);
if (same) {
// more work done here
} else {
// more work done here
}
}
same
始终为true。
foo()
,但这是无法实现的,因为在该方法中,需要其他库私有对象上的许多引用。
same
。是否可以在库中以任何方式解决
String name = (String)getNameMethod.invoke(ntSystem, null);
问题?
最佳答案
让我们在这里直接说:从现在起,我假设您的“特殊用例”是您希望调整/破解用户身份验证,希望以合法的方式进行测试或进行其他操作。
要解决的主要问题是:
只需操作您的foo
方法的结果将很容易(我已将其重命名为isCurrentUser(String userID)
以阐明其意图)。但是,如果我理解正确,该方法会产生副作用,即它调用其他方法,并且您希望保留这些副作用。因此,我们必须更加小心,并使用手术刀,而不是斧头。
没有局部变量更改的切入点,因此您必须截获更改局部变量值的方法执行或调用。
AspectJ通常无法截获JDK方法execution()
(除非您想先编织JDK,这是可能的,但不在本文范围之内)。因此,您必须从自己的代码中截取call()
。我假设即使它包含在JAR中并且您没有源,也可以将其编入该代码中。您可以将LTW用于目标类,也可以将Java用于JAR的二进制编织,以创建新的编织版本。
您对NTSystem.getName()
的方法调用不是正常方式,而是通过Reflection API。因此,您不能仅使用像call(NTSystem.getName())
这样的切入点,因为它永远不会被触发。您必须拦截call(public Object Method.invoke(Object, Object...))
。
从理论上讲,可能是在isCurrentUser(..)
内部进行了其他反射方法调用,因此我们必须优化切入点,以便仅在真正调用NTSystem.getName()
时才匹配,而不是其他方法。
作为一项便利功能,我们希望能够动态地打开和关闭hackingMode
。
现在,这里是一个完整的,可编译的代码示例(显然,仅在Windows上可以像您自己的代码片段一样工作):
Java类,其中包含要操作的方法和用于演示目的的主要方法:
package de.scrum_master.app;
import java.lang.reflect.Method;
import de.scrum_master.aspect.TweakAuthenticationAspect;
public class UserAuthentication {
private static final String USER_NAME_GOOD = "alexander"; // Add your own user name here
private static final String USER_NAME_BAD = "hacker";
public static boolean isCurrentUser(String userID) throws Exception {
Class<?> ntSystemClass = Thread.currentThread().getContextClassLoader()
.loadClass("com.sun.security.auth.module.NTSystem");
Method getNameMethod = ntSystemClass.getMethod("getName");
Object ntSystem = ntSystemClass.newInstance();
String currentUserID = (String) getNameMethod.invoke(ntSystem);
boolean same = userID.equalsIgnoreCase(currentUserID);
if (same) {
System.out.println("Do something (same == true)");
} else {
System.out.println("Do something (same == false)");
}
return same;
}
public static void main(String[] args) throws Exception {
testAuthentication(false);
testAuthentication(true);
}
private static void testAuthentication(boolean hackingMode) throws Exception {
TweakAuthenticationAspect.hackingMode = hackingMode;
System.out.println("Testing authentication for hackingMode == " + hackingMode);
System.out.println("Authentication result for " + USER_NAME_GOOD + ": "
+ isCurrentUser(USER_NAME_GOOD));
System.out.println("Authentication result for " + USER_NAME_BAD + ": "
+ isCurrentUser(USER_NAME_BAD));
System.out.println();
}
}
testAuthentication(boolean hackingMode)
被调用两次,一次是禁用黑客代码,然后再启用。在这两种情况下,它都会先测试一个好/正确的用户名(请编辑!),然后再测试一个错误的用户名(“黑客”)。
package de.scrum_master.aspect;
import com.sun.security.auth.module.NTSystem;
import de.scrum_master.app.UserAuthentication;
import java.lang.reflect.Method;
public aspect TweakAuthenticationAspect {
public static boolean hackingMode = false;
pointcut reflectiveCall_NTSystem_getName(NTSystem ntSystem, Method method) :
call(public Object Method.invoke(Object, Object...)) &&
args(ntSystem, *) &&
target(method) &&
if(method.getName().equals("getName"));
pointcut cflow_isCurrentUser(String userID) :
cflow(
execution(* UserAuthentication.isCurrentUser(String)) &&
args(userID)
);
Object around(NTSystem ntSystem, Method method, String userID) :
reflectiveCall_NTSystem_getName(ntSystem, method) &&
cflow_isCurrentUser(userID) &&
if(hackingMode)
{
System.out.println("Join point: " + thisJoinPoint);
System.out.println("Given user ID: " + userID);
System.out.println("Reflectively called method: " + method);
return userID;
}
}
reflectiveCall_NTSystem_getName
拦截对
Method.invoke(..)
的调用,将第一个参数限制为
NTSystem
类型,从而消除了对其他类的反射调用。它还检查目标方法是否实际上是
getName
。即切入点检查是否真的要调用NTSystem.getName()`。
cflow_isCurrentUser
在方法
UserAuthentication.isCurrentUser(..)
的控制流中捕获连接点,公开其参数
userID
供以后使用。
around(NTSystem ntSystem, Method method, String userID)
建议将两个切入点与
&&
组合在一起,并可以访问其签名中的三个命名对象。在其方法主体中,我们可以对这些对象做任何我们想做的事情,例如将它们打印到控制台。我们还可以更改它们的状态,在这种情况下这是不必要的。建议通过
if(hackingMode)
动态激活。如果不需要,可以将其删除,这只是为了方便。因为我们在这里使用
around()
建议,所以我们可以返回任何内容,而不是原始方法的结果。在这种情况下,我们总是返回
userID
,就像给定的用户是当前登录Windows的用户一样。这有效地导致局部
same
变量始终变为
true
,因为对
equalsIgnoreCase(..)
的调用也总是返回true。
equalsIgnoreCase(..)
的结果,但是局部变量
currentUserID
将不等于
userID
。根据所需的副作用种类,可以根据自己的喜好更改此行为。
Testing authentication for hackingMode == false
Do something (same == true)
Authentication result for alexander: true
Do something (same == false)
Authentication result for hacker: false
Testing authentication for hackingMode == true
Join point: call(Object java.lang.reflect.Method.invoke(Object, Object[]))
Given user ID: alexander
Reflectively called method: public java.lang.String com.sun.security.auth.module.NTSystem.getName()
Do something (same == true)
Authentication result for alexander: true
Join point: call(Object java.lang.reflect.Method.invoke(Object, Object[]))
Given user ID: hacker
Reflectively called method: public java.lang.String com.sun.security.auth.module.NTSystem.getName()
Do something (same == true)
Authentication result for hacker: true
hackingMode == false
,身份验证将照常进行,但如果使用
hackingMode == true
,将始终对任何给定的用户名进行肯定身份验证。
关于java - “特殊” APP用例,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23537854/
我以一种特殊的方式收到以下错误。 The point at which the driver is attempting to click on the element was not scrolle
我有一些包含如下方法的编译库: public boolean foo(String userID) { Class ntSystemClass = Thread.currentThread()
假设我有下表 name | genre --------------------- book 1 | scifi book 2 | horror book 3
我正在用代码进行语言翻译。 self.title.text = [NSString stringWithFormat:NSLocalizedString(@"Q%ld", nil), (long)qu
我想这样做,但到目前为止,我所拥有的只是: print("Will you go out with me?") 我希望代码能够正常工作,以便人们可以回答“是/否”,如果回答是"is",则将返回一条消息
这个问题在这里已经有了答案: 关闭 11 年前。 Possible Duplicate: How can I decode html characters in c#? 我有来自 HTML 的字符,
我想在 JavaScript 中对以下形式的字符串执行 ucwords(),它应该返回 Test1_Test2_Test3。 我已经在 SO 上找到了一个 ucwords 函数,但它只需要空格作为新词
“任何长度的正数表示为数字字符数组,因此介于‘0’和‘9’之间。我们知道最重要的密码位于数组索引 0 的位置。 例子: - 号码是 10282 - 数组将是数字 = [1,0,2,8,2] 考虑到这一
我目前正在开发一个显示特殊 unicode 字符(例如 ꁴ)的应用 现在我遇到了在旧设备上无法显示这些符号的问题。我如何知道它是否适用于当前设备? 我是否必须为每个 SDK 版本创建一个虚拟 Andr
在 HTML、XML 和部分 DTD 中,有两种特殊的标记结构: 以感叹号开头的标签结束,例如 和 以问号开头的标签 ,例如 和 我的问题是,这些构造类型中的每一种是否都有不同的名称,或者我是否必
我目前正在用 python 构建一个 shell。shell 可以执行 python 文件,但我还需要添加使用 PIPE 的选项(例如“|”表示第一个命令的输出将是第二个命令的输入)。 为了做到这一点
我的 MVC 项目中的路由无法正常工作... 我希望我所有的 View 都在 Views > Shared 文件夹中,如下所示: Error.cshtml (default) Index.cshtml
我有一个函数: public static ImageIcon GetIconImageFromResource(String path){ URL url = ARMMain.class.g
好的,所以我想在我的 html 页面中包含下面的字符。看起来很简单,只是我找不到它们的 HTML 编码。 注意:我想在没有大小元素的情况下执行此操作,纯文本就可以了 ^_^。 干杯。 最佳答案 你可以
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题,以便用事实和引用来回答。 关闭 3 年前。
我是 C# 的新手,正在尝试使用 ASP.Net GridView(框架 3.5),当 gridView 文本包含以下内容时,我发现了一个大问题: ñ/Ñ/á/Á/é/É/í/Í/ó/Ó/ú/Ú or
在 Java 中,我尝试编写一个正则表达式来匹配特殊类型的 HTTP URL: http:///# 所以字符串有 4 段: 字符串文字:“http://”;那么 任意 1 个以上字符的字符串;那么 字
当我写查询时,我在表中有“to”列 SELECT to FROM mytable mysql_error 返回错误,如果将单词to插入``引号,即 SELECT `to` FROM mytable 查
我遇到了一个问题。事实上,我使用越南语文本,我想找到每个包含大写字母(大写字母)的单词。当我使用“re”模块时,我的函数 (temp) 没有捕捉到像“Đà”这样的词。另一种方法 (temp2) 是一次
在我的文本中,我想用一个空格替换以下特殊字符: symbols = ["`", "~", "!", "@", "#", "$", "%", "^", "&", "*", "(", ")", "_",
我是一名优秀的程序员,十分优秀!