在我们的SpringCloud应用中,我们会引入actuator来进行管理和监控我们的应用

常见的有:http://www.cnblogs.com/yangzhilong/p/8378152.html

如果开启

endpoints.restart.enabled=true

则会有pause、restart等端点。

对shutdown、pause、restart等敏感指令我们需要进行一定的保护。当然actuator也考虑到了这点,对一些敏感的端点做了enable、sensitive以及security的校验。

为了使用方便,我们通常是如下的配置:

# 禁用actuator管理端鉴权

management.security.enabled=false

# 启用shutdown   host:port/shutdown

endpoints.shutdown.enabled=true

# 禁用密码验证

endpoints.shutdown.sensitive=false

# 开启重启支持

endpoints.restart.enabled=true

# shutdown、pause、restart等的ip白名单地址

shutdown.whitelist=:::::::,127.0.0.1,172.16.,10.18.

这么做的主要原因有:1、使用方便   2、方便集成到各种监控组建里去。

注:网上很多都是说的开启management的鉴权,类似如下(此方案会影响第三方监控组建的使用,不推荐使用):

security.user.name=admin

security.user.password=admin

security.user.role=SUPERUSER

management.security.roles=SUPERUSER

如果不过这个security的交单会导致谁都可以直接post请求这些接口,故有了如下基于ip白名单的Filter方案:

ShutdownFilter.java

package com.mili.crm.eureka.filter;

import java.io.IOException;

import java.io.PrintWriter;

import java.util.Arrays;

import java.util.List;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.annotation.WebFilter;

import javax.servlet.http.HttpServletRequest;

import org.springframework.beans.factory.annotation.Value;

import org.springframework.cloud.context.config.annotation.RefreshScope;

import lombok.extern.slf4j.Slf4j;

/**

 * shutdown和pause的管理端点的ip白名单过滤

 * @author yangzhilong

 *

 */

@WebFilter(filterName="shutdownFilter",urlPatterns= {"/shutdown","/pause","/restart"})

@Slf4j

@RefreshScope

public class ShutdownFilter implements Filter {

    @Value("${shutdown.whitelist:0:0:0:0:0:0:0:1}")

    private String[] shutdownIpWhitelist;

    @Override

    public void destroy() {

    }

    @Override

    public void doFilter(ServletRequest srequest, ServletResponse sresponse, FilterChain filterChain)

            throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) srequest;

        String ip = this.getIpAddress(request);

        log.info("访问shutdown的机器的原始IP:{}", ip);

        if (!isMatchWhiteList(ip)) {

            sresponse.setContentType("application/json");

            sresponse.setCharacterEncoding("UTF-8");

            PrintWriter writer = sresponse.getWriter();

            writer.write("{\"code\":401}");

            writer.flush();

            writer.close();

            return;

        }

        filterChain.doFilter(srequest, sresponse);

    }

    @Override

    public void init(FilterConfig arg0) throws ServletException {

        log.info("shutdown filter is init.....");

    }

    /**

     * 匹配是否是白名单

     * @param ip

     * @return

     */

    private boolean isMatchWhiteList(String ip) {

        List<String> list = Arrays.asList(shutdownIpWhitelist);

        return list.stream().anyMatch(item -> ip.startsWith(item));

    }

    /**

     * 获取用户真实IP地址,不使用request.getRemoteAddr();的原因是有可能用户使用了代理软件方式避免真实IP地址,

     * 可是,如果通过了多级反向代理的话,X-Forwarded-For的值并不止一个,而是一串IP值,究竟哪个才是真正的用户端的真实IP呢?

     * 答案是取X-Forwarded-For中第一个非unknown的有效IP字符串。

     *

     * 如:X-Forwarded-For:192.168.1.110, 192.168.1.120, 192.168.1.130, 192.168.1.100

     *

     * 用户真实IP为: 192.168.1.110

     *

     * @param request

     * @return

     */

    private String getIpAddress(HttpServletRequest request) {

        String ip = request.getHeader("x-forwarded-for");

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getHeader("Proxy-Client-IP");

        }

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getHeader("WL-Proxy-Client-IP");

        }

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getHeader("HTTP_CLIENT_IP");

        }

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getHeader("HTTP_X_FORWARDED_FOR");

        }

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getRemoteAddr();

        }

        return ip;

    }

}

然后在SpringBoot的启动类上加入如下注解

@ServletComponentScan("com.mili")

通过灵活配置这个白名单,就可以精准控制谁能访问了。

对actuator的管理端点进行ip白名单限制(springBoot添加filter)的更多相关文章

  1. 利用CentOS系统IPtables防火墙添加网站IP白名单

    参考博文: 利用CentOS系统IPtables防火墙添加360网站卫士节点IP白名单 centos6.5添加白名单如下: 在防火墙 配置文件中加入白名单  ip -A INPUT -s 183.13 ...

  2. 【云速建站】微信公众平台中维护IP白名单

    [摘要] 介绍获取接入IP白名单的操作步骤 网站后台对接微信公众号.支付等都依赖于白名单,接下来就介绍一下白名单的配置. 1.1      为什么要设置白名单 为了提高公众平台开发者接口调用的安全性, ...

  3. 如何为ASP.NET Core设置客户端IP白名单验证

    原文链接:Client IP safelist for ASP.NET Core 作者:Damien Bowden and Tom Dykstra 译者:Lamond Lu 本篇博文中展示了如何在AS ...

  4. IP白名单

    一.什么是IP白名单 公众平台后台新增了IP白名单功能.通过开发者ID及密码调用获取access_token接口时,需要设置访问来源IP为白名单. IP白名单是指一组IP列表,只有该列表中的IP地址的 ...

  5. IP白名单的实现(PHP)

    有些项目可能会用到一个IP地址的白名单黑名单之类的验证. 比如,只有IP地址在白名单中,才可以访问该系统. 那么此时,白名单的维护,一般是一个文件,里边是一些IP地址(每行一个IP),当然也有的可能是 ...

  6. Windows Azure Web Site (14) Azure Web Site IP白名单

    <Windows Azure Platform 系列文章目录> 我们知道,在Azure Cloud Service和Virtual Machine,可以通过Endpoint ACL (Ac ...

  7. 解决微信公众平台IP白名单

    微信公众平台,作为自媒体的旗舰级产品,越来越多的人已经投入它的怀抱.正如它的广告词所说:再小的个体,也有品牌 好吧,闲话不多说,今天要说的是它的IP白名单机制. 我们现在安装的大部分的电信的家庭级别的 ...

  8. 微信公众平台宣布增加接口IP白名单提高安全性

    微信公众平台目前已经发布通知在平台接口调用上为了提高安全性需要添加IP白名单并仅允许白名单IP调用. 目前微信公众平台面向开发者主要提供的开发者ID和开发者密钥,在调用时ID和密钥通过检验即可进行调用 ...

  9. 算法题:实现一个IP白名单过滤器

        最近看到一则招聘的JD,附了一个算法题的链接,原题如下: 请实现一个IP白名单过滤算法,实现以下接口 boolean addWhiteIpAddress(String ip); boolean ...

随机推荐

  1. LINQ学习之旅(五)

    Union All/Union/Intersect操作和Top/Bottom操作和Paging操作和SqlMethods操作 Union All/Union/Intersect操作 适用场景:对两个集 ...

  2. DailyWallpaper v1.03 released

    根据这一段时间的使用发现了一些问题,重新修正一下. 修正电脑从休眠状态中恢复时如果没有网络连接程序报错的bug. 添加了异常处理语句,防止抓取网页数据时的错误. 这个版本将是最后一个bug fix版本 ...

  3. .NetCore下使用IdentityServer4 & JwtBearer认证授权在CentOS Docker容器中运行遇到的坑及填坑

    今天我把WebAPI部署到CentOS Docker容器中运行,发现原有在Windows下允许的JWTBearer配置出现了问题 在Window下我一直使用这个配置,没有问题 services.Add ...

  4. git的入门摸索和入门研究

    git官网:https://git-scm.com/ git教程---菜鸟教程:http://www.runoob.com/git/git-tutorial.html git教程---廖雪峰:http ...

  5. AOJ 2249 Road Construction (dijkstra)

    某国王需要修路,王国有一个首都和多个城市,需要修路.已经有修路计划了,但是修路费用太高. 为了减少修路费用,国王决定从计划中去掉一些路,但是需要满足一下两点: 保证所有城市都能连通 所有城市到首都的最 ...

  6. #9 //[SDOI2017]新生舞会

    题解: 分数规划+费用流 常数巨大开o2加inline加register还是不行 我也不知道为什么 代码: #include <bits/stdc++.h> using namespace ...

  7. 解决asp.net 报错 无法获取所需的权限错误

    asp.net 报错 无法获取所需的权限 无法获取所需的权限.说明: 执行当前 Web 请求期间,出现未处理的异常.请检查堆栈跟踪信息,以了解有关该错误以及代码中导致错误的出处的详细信息. 无法获取所 ...

  8. MySQL_join连接

    join连接 table1: table2: 笛卡尔积: 就是一个表里的记录要分别和另外一个表的记录匹配为一条记录,即如果表A有2条记录,表B也有2条记录,经过笛卡尔运算之后就应该有2*2即4条记录. ...

  9. 037 对于HIVE架构的理解

    0.发展 在hive公布源代码之后 公司又公布了presto,这个比较快,是基于内存的. impala:3s处理1PB数据. 1.Hive  能做什么,与 MapReduce 相比优势在哪里 关于hi ...

  10. win10 大文件 安卓android studio修改 汉化

    韩梦飞沙  韩亚飞  313134555@qq.com  yue31313  han_meng_fei_sha ========== win10 大文件 gradle-3.3-all 这个里面有 大量 ...