对actuator的管理端点进行ip白名单限制(springBoot添加filter)

时间  2019-12-04
标签 actuator 管理 端点 进行 名单 限制 springboot 添加 filter 栏目 Spring 繁體版
原文   原文链接

在咱们的SpringCloud应用中,咱们会引入actuator来进行管理和监控咱们的应用html

常见的有:http://www.cnblogs.com/yangzhilong/p/8378152.htmljava

若是开启 spring

endpoints.restart.enabled=true

则会有pause、restart等端点。json

对shutdown、pause、restart等敏感指令咱们须要进行必定的保护。固然actuator也考虑到了这点,对一些敏感的端点作了enable、sensitive以及security的校验。app

为了使用方便,咱们一般是以下的配置:ide

# 禁用actuator管理端鉴权
management.security.enabled=false
# 启用shutdown   host:port/shutdown
endpoints.shutdown.enabled=true
# 禁用密码验证
endpoints.shutdown.sensitive=false
# 开启重启支持
endpoints.restart.enabled=true

# shutdown、pause、restart等的ip白名单地址
shutdown.whitelist=0:0:0:0:0:0:0:1,127.0.0.1,172.16.,10.18.

这么作的主要缘由有:一、使用方便   二、方便集成到各类监控组建里去。post

注:网上不少都是说的开启management的鉴权,相似以下(此方案会影响第三方监控组建的使用,不推荐使用):this

security.user.name=admin
security.user.password=admin
security.user.role=SUPERUSER

management.security.roles=SUPERUSER

若是不过这个security的交单会致使谁均可以直接post请求这些接口,故有了以下基于ip白名单的Filter方案:url

ShutdownFilter.javaspa

package com.mili.crm.eureka.filter;

import java.io.IOException;
import java.io.PrintWriter;
import java.util.Arrays;
import java.util.List;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.cloud.context.config.annotation.RefreshScope;

import lombok.extern.slf4j.Slf4j;

/**
 * shutdown和pause的管理端点的ip白名单过滤
 * @author yangzhilong
 *
 */
@WebFilter(filterName="shutdownFilter",urlPatterns= {"/shutdown","/pause","/restart"})
@Slf4j
@RefreshScope
public class ShutdownFilter implements Filter {
    @Value("${shutdown.whitelist:0:0:0:0:0:0:0:1}")
    private String[] shutdownIpWhitelist;
    
    @Override
    public void destroy() {
    }

    @Override
    public void doFilter(ServletRequest srequest, ServletResponse sresponse, FilterChain filterChain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) srequest;

        String ip = this.getIpAddress(request);
        log.info("访问shutdown的机器的原始IP:{}", ip);

        if (!isMatchWhiteList(ip)) {
            sresponse.setContentType("application/json");
            sresponse.setCharacterEncoding("UTF-8");
            PrintWriter writer = sresponse.getWriter();
            writer.write("{\"code\":401}");
            writer.flush();
            writer.close();
            return;
        }

        filterChain.doFilter(srequest, sresponse);
    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {
        log.info("shutdown filter is init.....");
    }
    
    /**
     * 匹配是不是白名单
     * @param ip
     * @return
     */
    private boolean isMatchWhiteList(String ip) {
        List<String> list = Arrays.asList(shutdownIpWhitelist);
        return list.stream().anyMatch(item -> ip.startsWith(item));
    }
    
    /**
     * 获取用户真实IP地址,不使用request.getRemoteAddr();的缘由是有可能用户使用了代理软件方式避免真实IP地址,
     * 但是,若是经过了多级反向代理的话,X-Forwarded-For的值并不止一个,而是一串IP值,究竟哪一个才是真正的用户端的真实IP呢?
     * 答案是取X-Forwarded-For中第一个非unknown的有效IP字符串。
     * 
     * 如:X-Forwarded-For:192.168.1.110, 192.168.1.120, 192.168.1.130, 192.168.1.100
     * 
     * 用户真实IP为: 192.168.1.110
     * 
     * @param request
     * @return
     */
    private String getIpAddress(HttpServletRequest request) {
        String ip = request.getHeader("x-forwarded-for");
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_CLIENT_IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_X_FORWARDED_FOR");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getRemoteAddr();
        }
        return ip;
    }
}

而后在SpringBoot的启动类上加入以下注解

@ServletComponentScan("com.mili")

经过灵活配置这个白名单,就能够精准控制谁能访问了。

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程