Java代码审计-flink-streaming-platform-web

前言

项目地址：GitHub - zhp8341/flink-streaming-platform-web: 基于flink的实时流计算web平台
flink-streaming-platform-web是一个将flink封装的一个可视化的、轻量级的flink web客户端系统，用户只需在web 界面进行sql配置就能完成流计算任务。

项目结构

flink-streaming-common: flink流计算相关公共类
flink-streaming-core: flink流计算核心模块
flink-streaming-valication: sql校验模块
flink-streaming-web: web平台模块 1. 2. 用户管理 3. 日志管理 4. 系统配置等.
flink-streaming-web-alarm: web平台报警接口
flink-streaming-web-common: web平台模块公共类
flink-streaming-web-config: web平台配置类

环境搭建
这里搭建的话使用linux比较合适，flink现在支持linux多一些，在win下会出现一些问题
Web平台使用的springboot，所以环境搭起来也比较方便，创建数据库为flink_web，然后执行docs下的flink_web.sql文件即可

审计过程

环境搭建成功之后只有一个后台登录的功能，所以这里先看登录的逻辑是怎么样的，在UserApiController#login方法中打下断点，提交数据包：

 先从数据库中查找对应的用户，然后判断用户是否存在和被禁用，后续对传入的密码和用户的密码进行校验，并返回base64编码的session，用户的登录没什么问题，下一步查看是怎么鉴权的