项目上有个小需求,要限制访问者的IP,屏蔽未授权的请求。该场景使用过滤器来做再合适不过了。

SecurityFilter.java:

public class SecurityFilter implements Filter {

    private Log log = LogFactory.getLog(SecurityFilter.class);

    private List<String> whitelist = new ArrayList<String>();

    private List<String> regexlist = new ArrayList<String>();

    private static final String _JSON_CONTENT = "application/json; charset=UTF-8";

    private static final String _HTML_CONTENT = "text/html; charset=UTF-8";

    private static final String _403_JSON = "{'code': '403', 'msg': '访问被拒绝,客户端未授权!'}";

    private static final String _403_HTML = "<html><body><div style='text-align:center'><h1 style='margin-top: 10px;'>403 Forbidden!</h1><hr><span>@lichmama</span></div></body></html>";

    @Override

    public void destroy() {

    }

    @Override

    public void doFilter(ServletRequest servletrequest, ServletResponse servletresponse, FilterChain filterchain)

            throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) servletrequest;

        HttpServletResponse response = (HttpServletResponse) servletresponse;

        if (isSecurityRequest(request)) {

            filterchain.doFilter(request, response);

        } else {

            log.info("拒绝来自[" + request.getRemoteAddr() + "]的访问请求:" + request.getRequestURI());

            response.setStatus(403);

            if (isAjaxRequest(request)) {

                response.setContentType(_JSON_CONTENT);

                response.getWriter().print(_403_JSON);

            } else {

                response.setContentType(_HTML_CONTENT);

                response.getWriter().print(_403_HTML);

            }

        }

    }

    @Override

    public void init(FilterConfig filterconfig) throws ServletException {

        String allowedIP = filterconfig.getInitParameter("allowedIP");

        if (allowedIP != null && allowedIP.length() > 0) {

            for (String item : allowedIP.split(",\\s*")) {

                // 支持通配符*

                if (item.contains("*")) {

                    String regex = item.replace(".", "\\.").replace("*", "\\d{1,3}");

                    regexlist.add(regex);

                } else {

                    whitelist.add(item);

                }

            }

        }

    }

    /**

     * 判断当前请求是否来自可信任的地址

     *

     * @param request

     * @return

     */

    private boolean isSecurityRequest(HttpServletRequest request) {

        String ip = request.getRemoteAddr();

        for (String item : whitelist) {

            if (ip.equals(item))

                return true;

        }

        for (String item : regexlist) {

            if (ip.matches(item))

                return true;

        }

        return false;

    }

    /**

     * 判断请求是否是AJAX请求

     * @param request

     * @return

     */

    private boolean isAjaxRequest(HttpServletRequest request) {

        String header = request.getHeader("X-Requested-With");

        if (header != null && header.length() > 0) {

            if ("XMLHttpRequest".equalsIgnoreCase(header))

                return true;

        }

        return false;

    }

}

web.xml增加配置:

    <filter>

        <filter-name>securityFilter</filter-name>

        <filter-class>com.lichmama.webdemo.filter.SecurityFilter</filter-class>

        <init-param>

            <param-name>allowedIP</param-name>

            <param-value>192.168.5.*</param-value>

        </init-param>

    </filter>  

    <filter-mapping>

        <filter-name>securityFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

尝试访问,结果如下:

*如何在Filter中获取Response的内容?这个问题之前还真没思考过,搜索了下得知如下方法可行:

1.实现一个PrintWriterWrapper,用于替换ServletResponse中的Writer

package com.lichmama.webdemo;

import java.io.PrintWriter;

import java.io.Writer;

public class PrintWriterWrapper extends PrintWriter {

    private StringBuilder buff;

    public PrintWriterWrapper(Writer writer) {

        super(writer);

        buff = new StringBuilder();

    }

    @Override

    public void write(int i) {

        super.write(i);

        buff.append(i);

    }

    @Override

    public void write(char[] ac, int i, int j) {

        super.write(ac, i, j);

        buff.append(ac, i, j);

    }

    @Override

    public void write(char[] ac) {

        super.write(ac);

        buff.append(ac);

    }

    @Override

    public void write(String s, int i, int j) {

        super.write(s, i, j);

        buff.append(s, i, j);

    }

    @Override

    public void write(String s) {

        super.write(s);

        buff.append(s);

    }

    @Override

    public void flush() {

        super.flush();

        buff.delete(0, buff.length());

    }

    public String getContent() {

        return buff.toString();

    }

}

2.实现一个ResponseWrapper,用于替换过滤链(FilterChain)中的ServletResponse:

package com.lichmama.webdemo;

import java.io.IOException;

import java.io.PrintWriter;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpServletResponseWrapper;

public class ResponseWrapper extends HttpServletResponseWrapper {

    private PrintWriterWrapper writer;

    public ResponseWrapper(HttpServletResponse response) {

        super(response);

    }

    @Override

    public PrintWriter getWriter() throws IOException {

        if (writer == null)

            writer = new PrintWriterWrapper(super.getWriter());

        return writer;

    }

}

3.编写Filter实现获取Response的内容捕获:

package com.lichmama.webdemo.filter;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletResponse;

import com.lichmama.webdemo.PrintWriterWrapper;

import com.lichmama.webdemo.ResponseWrapper;

public class TestFilter implements Filter {

    @Override

    public void init(FilterConfig filterconfig) throws ServletException {

    }

    @Override

    public void doFilter(ServletRequest servletrequest, ServletResponse servletresponse, FilterChain filterchain)

            throws IOException, ServletException {

        ResponseWrapper responsewrapper = new ResponseWrapper((HttpServletResponse) servletresponse);

        filterchain.doFilter(servletrequest, responsewrapper);

        PrintWriterWrapper writerWrapper = (PrintWriterWrapper) responsewrapper.getWriter();

        // TODO retrieve content from PrintWriterWrapper

        String content = writerWrapper.getContent();

    }

    @Override

    public void destroy() {

    }

}

that's it~

javaweb利用filter拦截未授权请求的更多相关文章

  1. javaweb利用filter拦截请求

    项目上有个小需求,要限制访问者的IP,屏蔽未授权的登录请求.该场景使用过滤器来做再合适不过了. SecurityFilter.java: package com.lichmama.webdemo.fi ...

  2. 利用Filter解决跨域请求的问题

    1.为什么出现跨域. 很简单的一句解释,A系统中使用ajax调用B系统中的接口,此时就是一个典型的跨域问题,此时浏览器会出现以下错误信息,此处使用的是chrome浏览器. 错误信息如下: jquery ...

  3. 利用Filter和HttpServletRequestWrapper实现请求体中token校验

    先说一下项目的背景,系统传参为json格式,token为其中一个必传参数,此时如果在过滤器中直接读取request,则后续controller中通过RequestBody注解封装请求参数是会报stre ...

  4. Java继承Exception自定义异常类教程以及Javaweb中用Filter拦截并处理异常

    转载请注明原文地址:http://www.cnblogs.com/ygj0930/p/6403033.html 在项目中的应用见: https://github.com/ygj0930/CoupleS ...

  5. Redis未授权访问漏洞复现与利用

    漏洞简介 Redis默认情况下,会绑定在0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,这样将会将Redis服务暴露到公网上,如果在没有设置密码认 ...

  6. PHP-FPM Fastcgi 未授权访问漏洞

    漏洞原理 Fastcgi Fastcgi是一个通信协议,和HTTP协议一样,都是进行数据交换的一个通道.HTTP协议是浏览器和服务器中间件进行数据交换的协议,浏览器将HTTP头和HTTP体用某个规则组 ...

  7. Spring Security 实战干货:OAuth2授权请求是如何构建并执行的

    在Spring Security 实战干货:客户端OAuth2授权请求的入口中我们找到了拦截OAuth2授权请求入口/oauth2/authorization的过滤器OAuth2Authorizati ...

  8. 利用Filter和拦截器,将用户信息动态传入Request方法

    前言: 在开发当中,经常会验证用户登录状态和获取用户信息.如果每次都手动调用用户信息查询接口,会非常的繁琐,而且代码冗余.为了提高开发效率,因此就有了今天这篇文章. 思路: 用户请求我们的方法会携带一 ...

  9. Hadoop Yarn REST API未授权漏洞利用挖矿分析

    欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 一.背景情况 5月5日腾讯云安全曾针对攻击者利用Hadoop Yarn资源管理系统REST API未授权漏洞对服务器进行攻击,攻击者可以在未 ...

随机推荐

  1. 探索etcd,Zookeeper和Consul一致键值数据存储的性能

    这篇博文是探索三个分布式.一致性键值数据存储软件性能的系列文章中的第一篇:etcd.Zookeeper和Consul,由etcd团队所写,可以让我们全面地了解如何评估三个分布式一致存储软件的性能.翻译 ...

  2. selenium中元素操作之上传操作(六)

    上传操作分为两种情况: 1.input标签上传 如果是input可以直接输入路径的,那么直接调用send_keys输入路径,和前边的元素操作类似,在这里不再过多的赘述. 2.非input标签上传 非i ...

  3. TinyXPath 对于xpath标准的支持测试

    xpath是一种基于xml的查询标准,一般的xml解析工具都具有,有的因为卓越的xpath性能而出名,其匹配查询算法牛逼而又高效,和正则有的一拼.虽然我现在大部分从事前端工作了,但是对于原理性的东西还 ...

  4. tqdm()与set_description()的用法

    pbar=tqdm(range(55156))for i in pbar: # print(i) a=464443161*845113131 pbar.set_description("tr ...

  5. 2019 创蓝253java面试笔试题 (含面试题解析)

      本人5年开发经验.18年年底开始跑路找工作,在互联网寒冬下成功拿到阿里巴巴.今日头条.创蓝253等公司offer,岗位是Java后端开发,因为发展原因最终选择去了创蓝253,入职一年时间了,也成为 ...

  6. 使用Nexus3搭建Maven私服+上传第三方jar包到本地maven仓库

    1.搭建Maven私服背景 公司还是按捺不住,要搭建一个自己的Maven本地仓库,可以让开发人员down架包,从内网还是快很多. 这样公司的maven本地仓库就是 开发人员自己电脑上的maven仓库 ...

  7. xcode11新项目删除main.storyboard 两种方法

    方法一 心急的童鞋按照老操作完成后再按照如下操作即可 /** 弃用storboard 1.info.plist去除 <key>UIApplicationSceneManifest</ ...

  8. BDOC ROUTER

    BAPI_CRM_SAVECRM_GENERIC_CRM_INMAP_BAPIMTCS_AND_PROCESSCRM_DOWNLOAD_MAP_TO_MBDOCCRM_SALESDOC_MAP_BAP ...

  9. 第一册:lesson 131.

    原文: Don't be so sure. question:What's the problem about deciding on a holiday. Where are you going t ...

  10. C# 获取指定类型的文件

    C# 获取指定类型的文件 public static List<FileInfo> getFile(string path, string extName) { List<FileI ...