2. 程式人生 > >dubbo介面訪問控制 - 白名單

dubbo介面訪問控制 - 白名單

阿新 發佈:2019-01-03

      微服務背景下,一個web應用都可能不再service依賴,而是通過RPC呼叫遠端伺服器上的服務。這些服務裡,就包括了一些不能輕易暴露的後臺功能介面。暴露出去的dubbo介面註冊到某一個zk上後,該dubbo介面對註冊到該zk上的消費者都是可見的。對公司內部而言,通常不會有人蓄意去呼叫一些敏感的介面,但也存在人為誤用的可能呀。為此,考慮通過白名單機制來控制dubbo介面的訪問。

現在以許可ip127.0.0.1訪問介面fundRecordTemplateFacade為例演示。

擴充套件Filter

首先,我們需要實現com.alibaba.dubbo.rpc.Filter介面:

@Activate(group = { Constants.CONSUMER, Constants.PROVIDER })
public class FacadeAccessFilter implements Filter {

    private FacadeAccessConfig facadeAccessConfig;

    public FacadeAccessConfig getFacadeAccessConfig() {
        return facadeAccessConfig;
    }

    // 通過setter方式注入白名單配置檔案
    public
 
 void setFacadeAccessConfig(FacadeAccessConfig facadeAccessConfig) {
        this.facadeAccessConfig = facadeAccessConfig;
    }

    @Override
    public Result invoke(Invoker<?> invoker, Invocation invocation) throws RpcException {
        Result result = null;
        // 獲取呼叫的介面名
        String reqFacade = invoker.getInterface().getSimpleName();
        try
 
 {
            // 嘗試在白名單配置檔案裡查詢定義的介面,如果找不到則catch住異常、並許可訪問。
            Method method;
            try {
                method = facadeAccessConfig.getClass().getDeclaredMethod(editMethodName(reqFacade));
            } catch (NoSuchMethodException e) {
                // 無特殊限制,則許可訪問
                result = invoker.invoke(invocation);
                return result;
            }
            // 走到這裡,說明白名單配置檔案配了對該facade的訪問限制
            // 獲取remoteAddress:進行訪問的應用,格式ip:port
            String remoteAddress = RpcContext.getContext().getRemoteAddressString();
            // 只取ip
            String remoteIp = remoteAddress.split(":")[0];
            // 獲取licensinedApplications:許可的應用列表
            String licensinedApplications = (String) method.invoke(facadeAccessConfig);
            if (StringUtils.isNotEmpty(licensinedApplications) && StringUtils.isNotEmpty(remoteIp) && licensinedApplications.contains(remoteIp)) {
                // 許可權許可、進行訪問
                Help.log_info(getClass(), " remoteAddress" + remoteAddress + "訪問介面" + reqFacade);
                result = invoker.invoke(invocation);
                return result;
            } else {
                // 許可權不許可、退出訪問
                Help.log_info(getClass(), " remoteAddress" + remoteAddress + "無權訪問介面" + reqFacade);
                result = new RpcResult("remoteAddress" + remoteAddress + "無權訪問介面" + reqFacade);
                return result;
            }
        } catch (SecurityException e) {
            Help.log_error(getClass(), "校驗remoteAddress是否有許可權訪問" + reqFacade + "發生異常", e);
        } catch (IllegalAccessException e) {
            Help.log_error(getClass(), "校驗remoteAddress是否有許可權訪問" + reqFacade + "發生異常", e);
        } catch (IllegalArgumentException e) {
            Help.log_error(getClass(), "校驗remoteAddress是否有許可權訪問" + reqFacade + "發生異常", e);
        } catch (InvocationTargetException e) {
            Help.log_error(getClass(), "校驗remoteAddress是否有許可權訪問" + reqFacade + "發生異常", e);
        }
        return result;
    }

    private String editMethodName(String fieldName) {
        return "get" + fieldName.substring(0, 1).toUpperCase() + fieldName.substring(1, fieldName.length());
    }

}

    配置檔案

    1. 在resources目錄下新增純文字檔案META-INF/dubbo/com.alibaba.dubbo.rpc.Filter,內容如下:
      這裡寫圖片描述

    2. 修改配置檔案dubbo-common.xml,在dubbo:provider屬性中新增配置的filter,內容如下:
      在dubbo:provider中新增配置的filter

    3. 擴充套件Filter時,我們是通過setter方法將訪問白名單FacadeAccessConfig註冊到FacadeAccessFilter類中的,那麼在配置檔案(譬如:applicationContext.xml)裡還需要對bean例項化。

        <!-- 將facade訪問白名單註冊到FacadeAccessFilter類中 -->
    <bean id="facadeAccessFilter" class="com.roger.account.provider.filter.FacadeAccessFilter">
        <property name="facadeAccessConfig" ref="facadeAccessConfig" />
    </bean>
    <bean id="facadeAccessConfig" class="com.roger.account.provider.filter.FacadeAccessConfig" />

      訪問白名單檔案

      我們看一下白名單檔案的設計格式。本意希望能配置成”介面名=呼叫介面的應用名”,因為部署應用的ip變化可能性遠高於應用本身的名稱修改。但是在Invoker和Invocation物件中找不到客戶端的應用名,無奈之下,就設計成了”介面名=呼叫介面的ip”。
      白名單

      下面是FacadeAccessConfig類,定義的私有屬性都是需要控制權限的dubbo介面名,getter方法從配置平臺disconf上找到對應配置檔案的對應屬性值。

      @Component(value = "facadeAccessConfig")
@DisconfFile(filename = "facadeAccessConfig.properties")
public class FacadeAccessConfig {

    // 定義可以訪問fundRecordTemplateFacade的應用
    private String fundRecordTemplateFacade;

    @DisconfFileItem(associateField = "fundRecordTemplateFacade", name = "fundRecordTemplateFacade")
    public String getFundRecordTemplateFacade() {
        return fundRecordTemplateFacade;
    }

    public void setFundRecordTemplateFacade(String fundRecordTemplateFacade) {
        this.fundRecordTemplateFacade = fundRecordTemplateFacade;
    }

}

        這樣,對於已經配置的一個介面,新增可訪問的應用只需要新增ip。對於一個新配置的介面,只需要在配置檔案facadeAccessConfig.properties裡新增”介面名=呼叫介面的應用名”,然後在FacadeAccessConfig類中新增私有屬性即可。

        本部落格為轉載文章,如有侵權請及時聯絡。
原部落格連結:http://blog.csdn.net/peerless_hero/article/details/72667550

        相關推薦

        dubbo介面訪問控制 - 名單

              微服務背景下,一個web應用都可能不再service依賴,而是通過RPC呼叫遠端伺服器上的服務。這些服務裡,就包括了一些不能輕易暴露的後臺功能介面。暴露出去的dubbo介面註冊到某一個zk上後,該dubbo介面對註冊到該

        Dubbo新增服務ip名單,防止不法呼叫。

        1.新增類ValidationFilter繼承阿里巴巴的Filter package com.filter; import java.io.IOException; import java.io.InputStream; import java.util

        dubbo介面新增名單——dubbo Filter的使用

        在開發中,有時候需要限制訪問的許可權,白名單就是一種方法。對於Java Web應用,Spring的攔截器可以攔截Web介面的呼叫;而對於dubbo介面,Spring的攔截器就不管用了。 dubbo提供了Filter擴充套件,可以通過自定義Filter來實現這個功

        重學 Java 設計模式:實戰外觀模式「基於SpringBoot開發門面模式中介軟體,統一控制介面名單場景」

        ![](https://img-blog.csdnimg.cn/20200611230723500.png) 作者:小傅哥 部落格:[https://bugstack.cn](https://bugstack.cn) >沉澱、分享、成長,讓自己和他人都能有所收穫!

        oracle配置訪問名單教程

        文件 reload div 當前 star lan 進入 .net 參考 出於提高數據安全性等目地,我們可能想要對oracle的訪問進行限制,允許一些IP連接數據庫或拒絕一些IP訪問數據庫。 當然使用iptables也能達到限制的目地,但是從監聽端口變更限制扔可生效、只針對

        在Linux服務器上添加ip名單允許ssh登錄訪問

        白名單 rar rap lib led start 訪問 etc through vi /etc/hosts.allow # hosts.allow This file contains access rules which are used to # allow or

        Java架構-JavaSE(四)之介面訪問控制

        閱讀目錄(Content) 一、介面   1.1、介面與抽象類的區別   1.2、介面中的方法都是抽象方法   1.3、介面中的變數都是靜態常量(public static final修飾)   1.4、一個類可以實現多個介面     1.5、一個介面可以繼承多個父介面   1.6、

        修改docker私庫的地址(設定docker訪問名單

        方法一 1、進入虛擬 docker bash 中: docker-machine ssh [Docker虛擬主機名稱] 2、 開啟並編輯 /var/lib/boot2docker/profile 檔案中的 EXTRA_ARGS 資訊: sudo vi /var/lib/

        我的第一個python web開發框架(39)——後臺介面許可權訪問控制處理

        1 @get('/api/main/menu_info/') 2 def callback(): 3 """ 4 主頁面獲取選單列表資料 5 """ 6 # 獲取當前使用者許可權 7 session = web_helper.get_ses

        Win平臺Web訪問名單設定指令碼(IP安全性原則)

        最近老是有使用者申請開通某網站的訪問許可權,我接手之前瀏覽許可權的設定方法是修改 tomcat 下的 server.xml 配置檔案,通過定義 allow="IP.."的訪問規則來控制瀏覽許可權。這種方法有個很不好的地方,每加一次許可權,你就得重啟一次 tomcat,使用者老是擠牙膏一樣,一次一兩個 IP

        Linux系統使用iptables建立可訪問名單

        目前由於專案要求需要修復一些linux系統的漏洞,部分使用了iptables的功能,因此研究了一下iptables的原理,並講述建立系統訪問白名單的過程。 1.iptables的工作機制 首先列出iptables在linux核心中涉及的五個位置: 1.

        [WebServer] Tomcat 配置訪問限制:訪問名單訪問黑名單

        最近公司的阿里雲伺服器上配置的 Tomcat 伺服器執行 java的環境,但是通過觀察 Tomcat 這幾天的日誌發現,有很多莫名其妙的 IP 訪問主機下莫名其妙的地址,如:/80、/testproxy.php、/cache/global/img/gs.gif、CONNECT

        RHEL7.3安裝VNC,小輕鬆實現遠端圖形化介面訪問server

        背景:因為LZ是苦逼伺服器測試狗一枚,公司新產品remote console今年有采用HTML5技術,比以往基於java的remote console要卡得多,延遲高,體驗很差勁。在測試任務的重壓下,本著高效率工作的態度,就有了這篇文章 1.安裝Linux版VNC (原始

        nginx設定訪問名單(ip)

        針對要配置的域名配置檔案: server {     listen       443;     server_name  abc.com;     #access_log  /server/nginx/log/abc.com.log  main;     ssl     

        暴露介面IP名單設定

        String realIp = IPUtil.getIpAddr(request); if(!"0:0:0:0:0:0:0:1".equals(realIp)){ List<String> ipList = Resourc

        WPF多執行緒直接訪問介面控制元件的解決方式

        WPF:Dispatcher.Invoke方法,只有在其上建立 Dispatcher的執行緒才可以直接訪問DispatcherObject。若要從不同於在其上建立 DispatcherObject的執行緒的某個執行緒訪問 DispatcherObject,請對與 DispatcherObject關聯的

        13 基於閘道器服務的IP名單限制訪問(Whitelist IP Restriction)

        用Kong配置一個book服務在安裝並啟動Kong之後,使用Kong的管理API埠8001新增一個名稱為book的服務[[email protected] ~]# curl -i -X POST \--url http://localhost:8001/servic

        四.Jenkins的授權和訪問控制

        區別 ima 配置 項目 uil build 存在 檢查 lob 默認的Jenkins不包含任何的安全檢查,任何人可以修改Jenkins設置,job和啟動build等。在多人使用的時候,顯然會存在比較大的安全風險,所以需要配置Jenkins的授權和訪問控制。 【系統管理】-

        Cisco之訪問控制列表(ACL)

        cisco acl 訪問控制列表(ACL)是應用在路由器接口的指令列表(即規則),這些規則表用來告訴路由器,哪些數據包可以接收,哪些包需要拒絕。其基本原理如下:ACL使用包過濾技術,在路由器上讀取OSI七層模型的第三層和第四層包頭中的信息,如源地址、目的地址、源端口、目的端口等,根據預先定義的規則,對包

        vsftpd實例:匿名訪問共享+系統用戶訪問控制

        vsftp 匿名訪問 ftp server 實名訪問 FTP環境實例: 某公司由於業務發展需求,現需要在公司內部搭建一臺FTP服務器!該公司有數個部門(IT FD HR)和N名員工(fus1 fus2 fus3 fus4 fus5 fus6 fus7 fus8 fus9)使用該服務器!為了保障