本申請提供了一種安全校驗方法。該方法是一種多級校驗方法，通過獲取校驗對象的屬性值，將該屬性值輸入屬性校驗器對校驗對象進行屬性校驗，實現了屬性級校驗。進一步地，當屬性校驗通過時，對校驗對象執行全局校驗流程和/或對校驗對象執行交易校驗流程。由此實現多級校驗，對不同場景下不同粒度的安全校驗均提供了支持，對已有校驗進行補充和擴展，能夠通過配置實現組合校驗，為可能產生的安全漏洞提供一種便捷應對手段。

技術領域

本申請涉及計算機技術領域，尤其涉及一種安全校驗方法、裝置、設備以及計算機可讀存儲介質。

背景技術

網絡(Web)應用廣泛應用于金融、教育、電子商務等各類信息系統。為了應對一些危害較大的安全漏洞和安全事件，Web應用的安全性需要不斷加強，各種漏洞的檢測需要實時補充，這就給Web應用中靈活便捷地增加安全校驗檢查提出了更高要求。

Java Web技術作為Web應用開發的主流技術之一，推出了Struts、Spring等基礎框架，用于業務的快速開發，并提供了一系列技術手段進行安全防護。例如Java Spring等技術提供了注解方式配置和校驗檢查項，但該校驗是參數級別的，難以解決業務邏輯改寫等漏洞產生的安全問題。

發明內容

本申請提供了一種安全校驗方法。該方法是一種多級校驗方法，通過獲取校驗對象的屬性值，將該屬性值輸入屬性校驗器對校驗對象進行屬性校驗，實現了屬性級校驗。進一步地，當屬性校驗通過時，對校驗對象執行全局校驗流程和/或對校驗對象執行交易校驗流程。由此實現多級校驗，對不同場景下不同粒度的安全校驗均提供了支持，對已有校驗進行補充和擴展，能夠通過配置實現組合校驗，為可能產生的安全漏洞提供一種便捷應對手段。

第一方面，本申請提供了一種安全校驗方法，該方法包括：

獲取校驗對象的屬性值，將屬性值輸入屬性校驗器對校驗對象進行屬性校驗；

當屬性校驗通過時，對校驗對象執行全局校驗流程和/或對校驗對象執行交易校驗流程。

在一些可能的實現方式中，該校驗對象為應用請求，例如可以是交易請求。

在一些可能的實現方式中，校驗對象包括第一屬性和第二屬性，第一屬性添加有屬性校驗注解，屬性校驗注解指示有與第一屬性對應的第一屬性校驗器，第一屬性校驗器包括統一接口，第二屬性添加有校驗跳過注解；

獲取校驗對象的屬性值，包括：

獲取校驗對象的第一屬性對應的屬性值，將第一屬性值輸入所述第一屬性校驗器對所述校驗對象進行屬性校驗。

在一些可能的實現方式中，在獲取校驗對象的屬性值之前，該方法還包括：

接收網絡請求；

根據網絡請求獲取視圖對象作為校驗對象；

該方法還包括：

當全局校驗通過和/或交易校驗通過時，根據網絡請求執行相應的業務邏輯，返回網絡響應。

在一些可能的實現方式中，當校驗對象對應的業務接口添加有交易校驗注解時，對業務接口執行交易校驗流程；

當校驗對象對應的業務接口添加有校驗跳過注解時，不對業務接口執行交易校驗流程。

在一些可能的實現方式中，校驗對象包括用于處理網絡請求的接入類；

對校驗對象執行全局校驗流程，包括：

將接入類的方法和參數輸入全局校驗器，執行全局校驗邏輯。

在一些可能的實現方式中，當全局校驗開關為開啟時，對校驗對象執行全局校驗流程，否則不執行全局校驗流程。

第二方面，本申請提供了一種安全校驗裝置，該裝置包括：