微服务背景下,一个web应用都可能不再service依赖,而是通过RPC调用远端服务器上的服务。这些服务里,就包括了一些不能轻易暴露的后台功能接口。暴露出去的dubbo接口注册到某一个zk上后,该dubbo接口对注册到该zk上的消费者都是可见的。对公司内部而言,通常不会有人蓄意去调用一些敏感的接口,但也存在人为误用的可能呀。为此,考虑通过白名单机制来控制dubbo接口的访问。

现在以许可ip127.0.0.1访问接口fundRecordTemplateFacade为例演示。

扩展Filter

首先,我们需要实现com.alibaba.dubbo.rpc.Filter接口:

@Activate(group = { Constants.CONSUMER, Constants.PROVIDER })

public class FacadeAccessFilter implements Filter {

    private FacadeAccessConfig facadeAccessConfig;

    public FacadeAccessConfig getFacadeAccessConfig() {

        return facadeAccessConfig;

    }

    // 通过setter方式注入白名单配置文件

    public void setFacadeAccessConfig(FacadeAccessConfig facadeAccessConfig) {

        this.facadeAccessConfig = facadeAccessConfig;

    }

    @Override

    public Result invoke(Invoker<?> invoker, Invocation invocation) throws RpcException {

        Result result = null;

        // 获取调用的接口名

        String reqFacade = invoker.getInterface().getSimpleName();

        try {

            // 尝试在白名单配置文件里查找定义的接口,如果找不到则catch住异常、并许可访问。

            Method method;

            try {

                method = facadeAccessConfig.getClass().getDeclaredMethod(editMethodName(reqFacade));

            } catch (NoSuchMethodException e) {

                // 无特殊限制,则许可访问

                result = invoker.invoke(invocation);

                return result;

            }

            // 走到这里,说明白名单配置文件配了对该facade的访问限制

            // 获取remoteAddress:进行访问的应用,格式ip:port

            String remoteAddress = RpcContext.getContext().getRemoteAddressString();

            // 只取ip

            String remoteIp = remoteAddress.split(":")[0];

            // 获取licensinedApplications:许可的应用列表

            String licensinedApplications = (String) method.invoke(facadeAccessConfig);

            if (StringUtils.isNotEmpty(licensinedApplications) && StringUtils.isNotEmpty(remoteIp) && licensinedApplications.contains(remoteIp)) {

                // 权限许可、进行访问

                Help.log_info(getClass(), " remoteAddress" + remoteAddress + "访问接口" + reqFacade);

                result = invoker.invoke(invocation);

                return result;

            } else {

                // 权限不许可、退出访问

                Help.log_info(getClass(), " remoteAddress" + remoteAddress + "无权访问接口" + reqFacade);

                result = new RpcResult("remoteAddress" + remoteAddress + "无权访问接口" + reqFacade);

                return result;

            }

        } catch (SecurityException e) {

            Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e);

        } catch (IllegalAccessException e) {

            Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e);

        } catch (IllegalArgumentException e) {

            Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e);

        } catch (InvocationTargetException e) {

            Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e);

        }

        return result;

    }

    private String editMethodName(String fieldName) {

        return "get" + fieldName.substring(0, 1).toUpperCase() + fieldName.substring(1, fieldName.length());

    }

}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63
  • 64

配置文件

  1. 在resources目录下添加纯文本文件META-INF/dubbo/com.alibaba.dubbo.rpc.Filter,内容如下: 

  2. 修改配置文件dubbo-common.xml,在dubbo:provider属性中添加配置的filter,内容如下: 

  3. 扩展Filter时,我们是通过setter方法将访问白名单FacadeAccessConfig注册到FacadeAccessFilter类中的,那么在配置文件(譬如:applicationContext.xml)里还需要对bean实例化。

    <!-- 将facade访问白名单注册到FacadeAccessFilter类中 -->

    <bean id="facadeAccessFilter" class="com.roger.account.provider.filter.FacadeAccessFilter">

        <property name="facadeAccessConfig" ref="facadeAccessConfig" />

    </bean>

    <bean id="facadeAccessConfig" class="com.roger.account.provider.filter.FacadeAccessConfig" />
  • 1
  • 2
  • 3
  • 4
  • 5

访问白名单文件

我们看一下白名单文件的设计格式。本意希望能配置成”接口名=调用接口的应用名”,因为部署应用的ip变化可能性远高于应用本身的名称修改。但是在Invoker和Invocation对象中找不到客户端的应用名,无奈之下,就设计成了”接口名=调用接口的ip”。 

下面是FacadeAccessConfig类,定义的私有属性都是需要控制权限的dubbo接口名,getter方法从配置平台disconf上找到对应配置文件的对应属性值。

@Component(value = "facadeAccessConfig")

@DisconfFile(filename = "facadeAccessConfig.properties")

public class FacadeAccessConfig {

    // 定义可以访问fundRecordTemplateFacade的应用

    private String fundRecordTemplateFacade;

    @DisconfFileItem(associateField = "fundRecordTemplateFacade", name = "fundRecordTemplateFacade")

    public String getFundRecordTemplateFacade() {

        return fundRecordTemplateFacade;

    }

    public void setFundRecordTemplateFacade(String fundRecordTemplateFacade) {

        this.fundRecordTemplateFacade = fundRecordTemplateFacade;

    }

}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17

这样,对于已经配置的一个接口,新增可访问的应用只需要添加ip。对于一个新配置的接口,只需要在配置文件facadeAccessConfig.properties里添加”接口名=调用接口的应用名”,然后在FacadeAccessConfig类中新增私有属性即可。

dubbo接口访问控制的更多相关文章

  1. jmeter测试dubbo接口

    本文讲解jmeter测试dubbo接口的实现方式,文章以一个dubbo的接口为例子进行讲解,该dubbo接口实现的功能为: 一:首先我们看服务端代码 代码架构为: 1:新建一个maven工程,pom文 ...

  2. 利用jmeter+JAVA对RPC的单接口(dubbo接口等)进行性能测试

    建立JAVA项目 建立maven项目,加入Jmeter所需要的JAR包依赖. POM.xml  加入如下: <dependency> <groupId>org.apache.j ...

  3. Jmeter实现dubbo接口压测案例

    当前项目中重构了消息服务,需要对消息服务接口做性能压测,评估消息服务的性能情况 通过和开发对接,目前消息服务是通过dubbo接口对内提供服务,所以才有了这边文章的记录 最初的压测这个dubbo接口有三 ...

  4. dubbo接口demo开发

    接口需求 客户端输入uncleyong(当然,也可以输入其它字符串),服务端返回hello uncleyong 开发环境 jdk + idea + maven + zookeeper jdk安装 id ...

  5. jmeter5.1测试dubbo接口

    dubbo接口功能介绍 客户端输入uncleyong(当然,也可以是其他字符串),服务端返回hello uncleyong 开发dubbo服务jmeter客户端 idea中创建模块dubbo_jmet ...

  6. java反射调用dubbo接口

    需求:项目增加幂等 场景:1.三个项目:a .b.c2.a项目加幂等3.b项目dubbo调用项目a的时候超时没有获取返回结果,增加重试机制(非立即重试,3min or 5min 后重试)4.c项目是一 ...

  7. jmeter4.0测试dubbo接口遇到的问题:An error occurred: org.springframework.scheduling.quartz.CronTriggerBean has interface org.quartz.CronTrigger as super class

    半年前,用jmeter4.0测试dubbo接口的时候,遇到这样一个问题 An error occurred: org.springframework.scheduling.quartz.CronTri ...

  8. Dubbo接口压测

    在每年的双十一大促之前,除了全链路压测,还需要各个业务方对自己业务提供的核心接口进行单接口压测,以评判系统的稳定性和承压能力. 一.准备工作 环境准备:确保应用性能环境(perf)正常可用 压测接口梳 ...

  9. 【Dubbo&&Zookeeper】6、 给dubbo接口添加白名单——dubbo Filter的使用

    在开发中,有时候需要限制访问的权限,白名单就是一种方法.对于Java Web应用,Spring的拦截器可以拦截Web接口的调用:而对于dubbo接口,Spring的拦截器就不管用了. dubbo提供了 ...

随机推荐

  1. SpringBoot+SpringData 整合入门

    SpringData概述 SpringData :Spring的一个子项目.用于简化数据库访问,支持NoSQL和关系数据存储.其主要目标是使用数据库的访问变得方便快捷. SpringData 项目所支 ...

  2. Java基础——详尽说明try-catch-finally的用法

    问:Java异常处理机制,理解了吗?Java异常处理,真的掌握了吗?什么是自定义异常?catch体里遇到return 是怎么处理?finally 体里有return怎么处理?catch 和 final ...

  3. Java基础——关于接口和抽象类的几道练习题

    呃,一定要理解之后自己敲!!!这几道题,使我进一步了解了接口和抽象类. 1.设计一个商品类 字段: 商品名称,重量,价格,配件数量,配件制造厂商(是数组,因为可能有多个制造厂商) 要求: 有构造函数 ...

  4. 【JVM】3、JVM问题查找

    1.查看tomcat进程号 两种方式都可以查看tomcat进程号 ps -ef | grep tomcat-web jps -lmvV |grep tomcat-web 结果如下:2556 2.查看进 ...

  5. mysql报错1105 -without an explicit primary key with pxc_strict_mode = ENFORCING or MASTER

    mysql报错1105 -without an explicit primary key with pxc_strict_mode = ENFORCING or MASTER. 在本地正常,但是在服务 ...

  6. POJ2778(SummerTrainingDay10-B AC自动机+矩阵快速幂)

    DNA Sequence Time Limit: 1000MS   Memory Limit: 65536K Total Submissions: 17160   Accepted: 6616 Des ...

  7. tensorflow模型的保存与恢复

    1.tensorflow中模型的保存 创建tf.train.saver,使用saver进行保存: saver = tf.train.Saver() saver.save(sess, './traine ...

  8. 使用标准C读取文件遇到的结构体对齐问题及其解决办法

    作者:朱金灿 来源:http://blog.csdn.net/clever101 同事使用标准C库读取文件,发现总是读取不对,让我帮忙看一下. 原来他定义了如下一个结构体: // 定义块的结构 typ ...

  9. Android 监听 WiFi 开关状态

    Android 监听 WiFi 开关状态 转载请标明出处:http://blog.csdn.net/zhaoyanjun6/article/details/70854309 本文出自[赵彦军的博客] ...

  10. Python笔记(九):字符串操作

    (一)    字符串 单引号.双引号.三重引号都可以作为字符串的开始和结束,三重引号可以直接输入多行字符串.三重引号可能一般是用来写多行注释. (二)    r和\ r使字符串成为原始字符串,忽略所有 ...