2. 程式人生 > >對actuator的管理端點進行ip白名單限制(springBoot新增filter)

對actuator的管理端點進行ip白名單限制(springBoot新增filter)

阿新 發佈:2018-12-18

原文:https://www.cnblogs.com/yangzhilong/p/9447905.html

在我們的SpringCloud應用中,我們會引入actuator來進行管理和監控我們的應用

常見的有:http://www.cnblogs.com/yangzhilong/p/8378152.html

如果開啟 

endpoints.restart.enabled=true

則會有pause、restart等端點。

對shutdown、pause、restart等敏感指令我們需要進行一定的保護。當然actuator也考慮到了這點,對一些敏感的端點做了enable、sensitive以及security的校驗。

為了使用方便,我們通常是如下的配置:

複製程式碼 
# 禁用actuator管理端鑑權
management.security.enabled=false
# 啟用shutdown   host:port/shutdown
endpoints.shutdown.enabled=true
# 禁用密碼驗證
endpoints.shutdown.sensitive=false
# 開啟重啟支援
endpoints.restart.enabled=true

# shutdown、pause、restart等的ip白名單地址
shutdown.whitelist=0:0:0:0:0:0:0:1,127.0.0.1,172.16.,10.18.
複製程式碼

這麼做的主要原因有:1、使用方便   2、方便整合到各種監控組建裡去。

注:網上很多都是說的開啟management的鑑權,類似如下(此方案會影響第三方監控組建的使用,不推薦使用):

security.user.name=admin
security.user.password=admin
security.user.role=SUPERUSER

management.security.roles=SUPERUSER

如果不過這個security的交單會導致誰都可以直接post請求這些介面,故有了如下基於ip白名單的Filter方案:

ShutdownFilter.java

複製程式碼 
package com.mili.crm.eureka.filter;

import java.io.IOException;
import java.io.PrintWriter;
import java.util.Arrays;
import java.util.List;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.cloud.context.config.annotation.RefreshScope;

import lombok.extern.slf4j.Slf4j;

/**
 * shutdown和pause的管理端點的ip白名單過濾
 * @author yangzhilong
 *
 */
@WebFilter(filterName="shutdownFilter",urlPatterns= {"/shutdown","/pause","/restart"})
@Slf4j
@RefreshScope
public class ShutdownFilter implements Filter {
    @Value("${shutdown.whitelist:0:0:0:0:0:0:0:1}")
    private String[] shutdownIpWhitelist;
    
    @Override
    public void destroy() {
    }

    @Override
    public void doFilter(ServletRequest srequest, ServletResponse sresponse, FilterChain filterChain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) srequest;

        String ip = this.getIpAddress(request);
        log.info("訪問shutdown的機器的原始IP:{}", ip);

        if (!isMatchWhiteList(ip)) {
            sresponse.setContentType("application/json");
            sresponse.setCharacterEncoding("UTF-8");
            PrintWriter writer = sresponse.getWriter();
            writer.write("{\"code\":401}");
            writer.flush();
            writer.close();
            return;
        }

        filterChain.doFilter(srequest, sresponse);
    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {
        log.info("shutdown filter is init.....");
    }
    
    /**
     * 匹配是否是白名單
     * @param ip
     * @return
     */
    private boolean isMatchWhiteList(String ip) {
        List<String> list = Arrays.asList(shutdownIpWhitelist);
        if(list.contains(ip)) {
            return true;
        }
        return list.stream().anyMatch(data -> ip.startsWith(data));
    }
    
    /**
     * 獲取使用者真實IP地址,不使用request.getRemoteAddr();的原因是有可能使用者使用了代理軟體方式避免真實IP地址,
     * 可是,如果通過了多級反向代理的話,X-Forwarded-For的值並不止一個,而是一串IP值,究竟哪個才是真正的使用者端的真實IP呢?
     * 答案是取X-Forwarded-For中第一個非unknown的有效IP字串。
     * 
     * 如:X-Forwarded-For:192.168.1.110, 192.168.1.120, 192.168.1.130, 192.168.1.100
     * 
     * 使用者真實IP為: 192.168.1.110
     * 
     * @param request
     * @return
     */
    private String getIpAddress(HttpServletRequest request) {
        String ip = request.getHeader("x-forwarded-for");
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_CLIENT_IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_X_FORWARDED_FOR");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getRemoteAddr();
        }
        return ip;
    }
}
複製程式碼

然後在SpringBoot的啟動類上加入如下註解

@ServletComponentScan("com.mili")

通過靈活配置這個白名單,就可以精準控制誰能訪問了。

相關推薦

actuator管理端點進行ip名單限制springBoot新增filter

原文:https://www.cnblogs.com/yangzhilong/p/9447905.html 在我們的SpringCloud應用中,我們會引入actuator來進行管理和監控我們的應用 常見的有:http://www.cnblogs.com/yangzhilong/p/8378152.htm

actuator管理端點進行ip名單限制springBoot添加filter

代理 指令 驗證 都是 factory ref https tco fig 在我們的SpringCloud應用中,我們會引入actuator來進行管理和監控我們的應用 常見的有:http://www.cnblogs.com/yangzhilong/p/8378152.htm

13 基於閘道器服務的IP名單限制訪問Whitelist IP Restriction

用Kong配置一個book服務在安裝並啟動Kong之後,使用Kong的管理API埠8001新增一個名稱為book的服務[[email protected] ~]# curl -i -X POST \--url http://localhost:8001/servic

實戰 :HBase業務表進行增刪改查操作Eclipse,Linux 環境

嘗試使用HBASE shell 和HBase java API 兩種方式來演示對業務表的操作。 一、Hbase Shell 1、啟動控制檯,啟用hbaseshell 控制檯對Hbase 進行操作具體命令如下: [[email protected] hbase]$ bin/h

阿里雲Python-SDK管理安全組和RDS例項IP名單

安裝SDK #pip install aliyun-python-sdk-rds #pip install aliyun-python-sdk-ecs 如果安裝報錯可能需要安裝python-dev #rpm -ivh python-dev

解決微信公眾平臺IP名單

borde splay 轉發 電信 dir count 可能 白名單 direct 微信公眾平臺,作為自媒體的旗艦級產品,越來越多的人已經投入它的懷抱。正如它的廣告詞所說:再小的個體,也有品牌 好吧,閑話不多說,今天要說的是它的IP白名單機制。 我們現在安

在Linux服務器上添加ip名單允許ssh登錄訪問

白名單 rar rap lib led start 訪問 etc through vi /etc/hosts.allow # hosts.allow This file contains access rules which are used to # allow or

【web】springboot應用增加actuator管理端點

在spring boot應用中增加actuator管理端點,可以通過訪問actuator提供的一些預設端點快捷的訪問應用的一些執行和配置狀態。 springboot應用中增加actuator端點很簡單

nginx設定目錄名單ip名單

1.設定目錄白名單:對指定請求路徑不設定限制,如對請求路徑為api目錄下的請求不做限制,則可寫為server{         location /app {             proxy_pass http://192.168.1.111:8095/app;    

Dubbo新增服務ip名單,防止不法呼叫。

1.新增類ValidationFilter繼承阿里巴巴的Filter package com.filter; import java.io.IOException; import java.io.InputStream; import java.util

阿里雲ip解封——ip名單設定

近來學了點HACK技術,心血來潮之下就想實踐一下。但是無端黑別人網站也不好,遂對自己部署在阿里雲上的網站下手了 自作孽不可活,直接被阿里給拉入ip黑名單了。。 解封辦法: 然後往裡面新增自己的ip即可,不要填區域網ip,百度搜索ip即可。 往後黑

Linux系統下新增防火牆規則新增IP名單

參考文件:防火牆的作用:    可以通過設定ip白名單/黑名單的方式限制外部ip的訪問或者限制訪問內部某個埠;新增防火牆過濾規則步驟如下;1、檢視現有防火牆過濾規則:    iptables -nvL --line-number2、新增防火牆過濾規則(設定白名單):     

暴露介面IP名單設定

String realIp = IPUtil.getIpAddr(request); if(!"0:0:0:0:0:0:0:1".equals(realIp)){ List<String> ipList = Resourc

關於微信公眾平臺本地測試ip如何加入IP名單

最近在搞微信公眾平臺這方面的東西,公司裡用的是能配置微信公眾平臺的CMS,但實際使用的時候發現和access_token有關的介面都無法正常呼叫,於是debug了下,發現獲取到了AppID和AppSecret,在最後請求access_token的時候返回了nul

利用CentOS系統IPtables防火牆新增網站IP名單

centos6.5新增白名單如下: 在防火牆 配置檔案中加入白名單  ip -A INPUT -s 183.136.133.0/24 -j ACCEPT     //儲存重啟iptables服務,則只有該段可以訪問 批量新增  參考:http://www.ithov

文件上傳-文件名長度繞過名單限制

文件上傳 操作系統特性 滲透測試 webshell ??在實際滲透中,當我們發現有文件上傳的地方時,我們會盡可能地嘗試所有的辦法進行webshell的上傳,只要能上傳webshell,就說明本次滲透至少成功了一般,後續就看獲得的webshell的權限情況進行下一步的操作。對於文件上傳漏洞的防護

MapReduce 統計手機使用者的上行流量,下行流量,總流量,並輸出的結果進行倒序排序。,劃分省份,輸出到不同的檔案

在(一)的基礎上,寫一個自己的partitioner就好了。   分割槽的預設實現HashPartitioner,它根據key的hashcode和Interger.  在Reduce過程中,可以根據實際需求(比如按某個維度進行歸檔,類似於資料庫的分組),把Map完的資

MapReduce 統計手機使用者的上行流量,下行流量,總流量,並輸出的結果進行倒序排序。

  首先,要知道hadoop自帶的LongWritable 是沒辦法儲存三個變數,即使用者的上行流量,下行流量,總流量。 這個時候,沒辦法,你就要去寫一個屬於你自己的介面,去實現能夠放入這三個資料。 MapReduce中傳輸自定義資料型別(Bean->setter+

用PN532RFID進行讀寫和複製附winfrom軟體

1、前言 通過本文你可以瞭解到PN523的通訊協議,並且能夠對RFID卡進行讀寫和複製操作。這裡不會深度探討理論,而是重點展示如何使用。 2、PN523串列埠通訊協議 2.1 喚醒模組 按照模組的文件來看,在每次上電的時候需要喚醒,讓他退出休眠模

使用logging模塊實現文件增刪改查操作的紀錄low B版

文件 time *** tle () handle 函數賦值 增刪改查操作 info #!/usr/bin/env python#對之前文件進行的增刪改查操作實現日誌操作,日誌輸出用戶進行過的操作。#!/usr/bin/env pythondef log(): imp