安全RCE之未授权访问分析(17)

方法如下，使用regex.MatchString()判断了请求路由是否匹配，cleanedPath为请求url。
func (ro *routeEntry) isMatch(cleanedPath string, req *http.Request) bool { //匹配请求方式 if ro.method != "" && req.Method != ro.method { return false } //匹配请求路由 if ro.regex != nil && !ro.regex.MatchString(cleanedPath) { return false } ok := true for _, matcher := range ro.matchers { ok = matcher(req) if !ok { break } } return ok}

workhorse认证授权

函数中有两个参数，一个是传入的handler，一个是原有的请求上加上接口authorize。文档中写到接口用于认证授权。

函数内的PreAuthorizeHandler是PreAuthorizer接口的一个接口方法。该方法实现了一个中间件功能，作用是进行指定操作前的向rails申请预授权，授权通过将调用handler函数体内的HandleFileUploads上传文件。下面是接口定义。
type PreAuthorizer interface { PreAuthorizeHandler(next api.HandleFunc, suffix string) http.Handler}