在线教育平台的安全建设,不能只停留在“加一个过滤器”“写一个脱敏工具类”。真实业务里,课程富文本、后台导出、动态查询、企业数据隔离、登录认证、操作留痕会交织在同一条请求链路中。任何一个环节把用户输入当成可信数据,都可能扩大攻击面。
织码在线教育系统采用分层防御思路,将安全能力沉淀为统一组件:网关与响应头负责入口约束,Controller/AOP 负责入参治理,Service 负责权限边界,Mapper 负责安全 SQL,审计模块负责可追溯留痕。

一、安全设计目标:从漏洞修补到请求链路治理
安全模块的设计目标可以归纳为四点:
- 输入不可信:所有来自浏览器、App、第三方回调、导入文件的数据,都必须经过校验、清洗或白名单转换。
- 权限不隐含:登录成功只代表身份可信,不代表用户可以访问所有课程、订单、企业和学员数据。
- 敏感信息不明文:密码、Token、手机号、证件号、密钥类字段不能在日志、异常、缓存、导出文件中裸露。
- 关键行为可追溯:高风险操作必须能还原操作者、目标资源、执行结果和请求上下文。

二、XSS 防护:按上下文治理输入与输出
课程详情、讲师介绍、公告内容通常需要富文本能力,这也是 XSS 最容易被忽略的区域。系统将输入场景拆成两类:
| 输入类型 | 示例字段 | 处理策略 |
|---|---|---|
| 纯文本 | 用户名、课程标题、备注 | Safelist.none() 去除标签,再做 HTML 实体编码 |
| 富文本 | 课程详情、图文内容、公告 | Jsoup 白名单保留安全标签,限制 href/src 协议 |
@Around("@annotation(xssClean)")
public Object around(ProceedingJoinPoint joinPoint, XssClean xssClean) throws Throwable {
Object[] args = joinPoint.getArgs();
for (int i = 0; i < args.length; i++) {
args[i] = sanitizeObject(args[i], xssClean.richText());
}
return joinPoint.proceed(args);
}
private Object sanitizeObject(Object arg, boolean richText) {
if (arg instanceof String text) {
return richText ? XssSanitizer.cleanRichText(text) : XssSanitizer.cleanText(text);
}
if (arg instanceof Collection<?> list) {
return list.stream().map(item -> sanitizeObject(item, richText)).toList();
}
return BeanXssCleaner.clean(arg, richText);
}
相比只拦截 String 参数,递归处理 DTO、集合和嵌套对象更适合真实后台接口。否则 @RequestBody CourseDTO 中的 description、content 等字段可能绕过清洗。
CSP 策略建议从宽到严逐步收敛。初期可先启用 Content-Security-Policy-Report-Only 收集违规上报,再切换为强制策略。生产环境应避免长期依赖 'unsafe-inline',可通过 nonce/hash 机制约束脚本来源。
三、SQL注入防御:区分“值参数”和“结构参数”
SQL 注入的本质是用户输入改变了 SQL 语义。参数化查询可以保护值参数,例如关键词、状态、时间范围;但排序字段、表字段、聚合字段、数据权限片段属于 SQL 结构,不能直接绑定为 ?,必须通过后端白名单转换。

public Page<Course> searchCourses(CourseSearchDTO dto, LoginUser user) {
LambdaQueryWrapper<Course> wrapper = Wrappers.lambdaQuery();
wrapper.like(StrUtil.isNotBlank(dto.getKeyword()), Course::getTitle, dto.getKeyword())
.eq(dto.getStatus() != null, Course::getStatus, dto.getStatus())
.eq(Course::getTenantId, user.getTenantId());
SortSpec sort = SortSpec.of("course", dto.getSortField(), dto.getSortDirection());
wrapper.last(sort.toOrderBySql()); // 输出来自白名单,不拼接原始入参
dataScopeService.applyCourseScope(wrapper, user);
return courseMapper.selectPage(Page.of(dto.getPage(), dto.getSize()), wrapper);
}
工程上建议把排序字段、导出字段、报表维度封装成枚举或配置表,由后端把前端传入的逻辑名映射为真实列名。这样即使前端参数被篡改,也只会回退到默认排序,而不会进入 SQL 结构。
四、认证、密码与敏感数据:传输安全不等于存储安全
系统使用 RSA 公钥加密登录密码,降低明文密码在浏览器请求、代理链路和调试工具中暴露的概率。但 RSA 解密后的明文只应存在于认证方法的局部变量中,不能写日志、不能入库、不能进入异步消息。
密码存储应使用不可逆慢哈希:
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder(12);
}
public void register(RegisterDTO dto) {
String rawPassword = rsaPasswordService.decrypt(dto.getPassword());
user.setPassword(passwordEncoder.encode(rawPassword));
userMapper.insert(user);
}
对于手机号、邮箱、证件号等字段,应按使用场景选择策略:
| 数据类型 | 存储建议 | 展示建议 | 查询建议 |
|---|---|---|---|
| 密码 | BCrypt/Argon2 慢哈希 | 永不展示 | 不支持明文查询 |
| 手机号 | 可加密存储或字段级脱敏 | 138****1234 | 需要精确查找时使用哈希索引 |
| Token/密钥 | 加密存储,短周期轮换 | 永不展示完整值 | 按摘要定位 |
| 操作参数 | 脱敏后写日志 | 仅审计角色可见 | 按模块、用户、时间检索 |
五、权限边界:RBAC 之外还要有数据范围
后台系统常见误区是只判断“用户是否有菜单权限”。在在线教育场景中,同样拥有“课程管理”权限的运营人员,可能只能管理自己机构、校区或租户下的数据。因此系统需要同时判断:
- 功能权限:能不能访问这个接口。
- 数据权限:能不能访问这条记录。
- 操作权限:能不能对该记录执行删除、导出、上下架等动作。
public void deleteCourse(Long courseId, LoginUser user) {
Course course = courseMapper.selectById(courseId);
if (course == null) throw new BizException("课程不存在");
if (!Objects.equals(course.getTenantId(), user.getTenantId())) {
throw new ForbiddenException("无权访问该课程");
}
permissionService.check(user, "course:delete");
courseMapper.deleteById(courseId);
}
权限校验应尽量靠近业务动作,而不是只依赖前端按钮隐藏。前端隐藏按钮只能改善体验,不能构成安全边界。
六、操作审计:从“记录日志”升级为“证据链”
操作审计的价值不是简单记录一段请求参数,而是形成完整证据链。建议把审计日志拆成稳定字段和扩展字段:稳定字段用于检索,扩展字段用于问题复盘。

CREATE TABLE sys_log (
id bigint PRIMARY KEY AUTO_INCREMENT,
trace_id varchar(64) NOT NULL,
user_id bigint,
username varchar(50),
tenant_id bigint,
module varchar(50) NOT NULL,
action varchar(100) NOT NULL,
target_id bigint,
request_method varchar(10) NOT NULL,
request_url varchar(500) NOT NULL,
request_params text,
response_status int,
error_msg varchar(1000),
ip varchar(50) NOT NULL,
user_agent varchar(500),
execute_time int,
create_time datetime NOT NULL,
KEY idx_user_time (user_id, create_time),
KEY idx_module_action (module, action),
KEY idx_trace_id (trace_id)
);
审计切面建议放在业务方法外层,确保成功、失败、异常都能留痕。写入方式可以采用异步队列,避免审计落库影响核心接口响应;但高风险操作如权限变更、订单退款、批量删除,需要保证审计事件至少投递成功。
七、落地建议:把安全能力做成默认能力
真正可靠的安全体系,不依赖每个开发者“记得写某段代码”,而是通过框架默认能力降低遗漏概率:
- 新增后台接口默认经过认证、鉴权、参数校验和审计。
- DTO 字段使用 Bean Validation 表达输入边界。
- 富文本字段必须显式标注,走独立白名单。
- 所有动态 SQL 结构参数必须来自枚举、白名单或后端配置。
- 日志组件默认脱敏,禁止记录明文密码、Token 和密钥。
- 关键操作必须带
trace_id,便于串联网关日志、应用日志和审计日志。
八、总结
织码在线教育系统的安全防护体系,本质上是围绕“请求从哪里来、能做什么、访问哪些数据、留下什么证据”进行工程化治理。XSS、SQL注入、密码安全和操作审计只是四个典型切面,背后的共同原则是最小权限、默认不信任、敏感数据最少暴露以及关键行为可追溯。
对于需要私有化部署、企业培训和多租户管理的教育平台来说,这套安全能力不仅能降低漏洞风险,也能支撑后续的合规审计、客户交付和长期运维。
如需私有化部署报价、远程产品演示,可访问官网 https://www.weavecodes.com/ ,私信作者领取企业落地案例。
切面,背后的共同原则是最小权限、默认不信任、敏感数据最少暴露以及关键行为可追溯。
对于需要私有化部署、企业培训和多租户管理的教育平台来说,这套安全能力不仅能降低漏洞风险,也能支撑后续的合规审计、客户交付和长期运维。
如需私有化部署报价、远程产品演示,可访问官网 https://www.weavecodes.com/ ,私信作者领取企业落地案例。

2016

被折叠的 条评论
为什么被折叠?



