在我们的SpringCloud应用中,我们会引入actuator来进行管理和监控我们的应用

常见的有:http://www.cnblogs.com/yangzhilong/p/8378152.html

如果开启

endpoints.restart.enabled=true

则会有pause、restart等端点。

对shutdown、pause、restart等敏感指令我们需要进行一定的保护。当然actuator也考虑到了这点,对一些敏感的端点做了enable、sensitive以及security的校验。

为了使用方便,我们通常是如下的配置:

# 禁用actuator管理端鉴权

management.security.enabled=false

# 启用shutdown   host:port/shutdown

endpoints.shutdown.enabled=true

# 禁用密码验证

endpoints.shutdown.sensitive=false

# 开启重启支持

endpoints.restart.enabled=true

# shutdown、pause、restart等的ip白名单地址

shutdown.whitelist=:::::::,127.0.0.1,172.16.,10.18.

这么做的主要原因有:1、使用方便   2、方便集成到各种监控组建里去。

注:网上很多都是说的开启management的鉴权,类似如下(此方案会影响第三方监控组建的使用,不推荐使用):

security.user.name=admin

security.user.password=admin

security.user.role=SUPERUSER

management.security.roles=SUPERUSER

如果不过这个security的交单会导致谁都可以直接post请求这些接口,故有了如下基于ip白名单的Filter方案:

ShutdownFilter.java

package com.mili.crm.eureka.filter;

import java.io.IOException;

import java.io.PrintWriter;

import java.util.Arrays;

import java.util.List;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.annotation.WebFilter;

import javax.servlet.http.HttpServletRequest;

import org.springframework.beans.factory.annotation.Value;

import org.springframework.cloud.context.config.annotation.RefreshScope;

import lombok.extern.slf4j.Slf4j;

/**

 * shutdown和pause的管理端点的ip白名单过滤

 * @author yangzhilong

 *

 */

@WebFilter(filterName="shutdownFilter",urlPatterns= {"/shutdown","/pause","/restart"})

@Slf4j

@RefreshScope

public class ShutdownFilter implements Filter {

    @Value("${shutdown.whitelist:0:0:0:0:0:0:0:1}")

    private String[] shutdownIpWhitelist;

    @Override

    public void destroy() {

    }

    @Override

    public void doFilter(ServletRequest srequest, ServletResponse sresponse, FilterChain filterChain)

            throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) srequest;

        String ip = this.getIpAddress(request);

        log.info("访问shutdown的机器的原始IP:{}", ip);

        if (!isMatchWhiteList(ip)) {

            sresponse.setContentType("application/json");

            sresponse.setCharacterEncoding("UTF-8");

            PrintWriter writer = sresponse.getWriter();

            writer.write("{\"code\":401}");

            writer.flush();

            writer.close();

            return;

        }

        filterChain.doFilter(srequest, sresponse);

    }

    @Override

    public void init(FilterConfig arg0) throws ServletException {

        log.info("shutdown filter is init.....");

    }

    /**

     * 匹配是否是白名单

     * @param ip

     * @return

     */

    private boolean isMatchWhiteList(String ip) {

        List<String> list = Arrays.asList(shutdownIpWhitelist);

        return list.stream().anyMatch(item -> ip.startsWith(item));

    }

    /**

     * 获取用户真实IP地址,不使用request.getRemoteAddr();的原因是有可能用户使用了代理软件方式避免真实IP地址,

     * 可是,如果通过了多级反向代理的话,X-Forwarded-For的值并不止一个,而是一串IP值,究竟哪个才是真正的用户端的真实IP呢?

     * 答案是取X-Forwarded-For中第一个非unknown的有效IP字符串。

     *

     * 如:X-Forwarded-For:192.168.1.110, 192.168.1.120, 192.168.1.130, 192.168.1.100

     *

     * 用户真实IP为: 192.168.1.110

     *

     * @param request

     * @return

     */

    private String getIpAddress(HttpServletRequest request) {

        String ip = request.getHeader("x-forwarded-for");

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getHeader("Proxy-Client-IP");

        }

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getHeader("WL-Proxy-Client-IP");

        }

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getHeader("HTTP_CLIENT_IP");

        }

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getHeader("HTTP_X_FORWARDED_FOR");

        }

        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

            ip = request.getRemoteAddr();

        }

        return ip;

    }

}

然后在SpringBoot的启动类上加入如下注解

@ServletComponentScan("com.mili")

通过灵活配置这个白名单,就可以精准控制谁能访问了。

对actuator的管理端点进行ip白名单限制(springBoot添加filter)的更多相关文章

  1. 利用CentOS系统IPtables防火墙添加网站IP白名单

    参考博文: 利用CentOS系统IPtables防火墙添加360网站卫士节点IP白名单 centos6.5添加白名单如下: 在防火墙 配置文件中加入白名单  ip -A INPUT -s 183.13 ...

  2. 【云速建站】微信公众平台中维护IP白名单

    [摘要] 介绍获取接入IP白名单的操作步骤 网站后台对接微信公众号.支付等都依赖于白名单,接下来就介绍一下白名单的配置. 1.1      为什么要设置白名单 为了提高公众平台开发者接口调用的安全性, ...

  3. 如何为ASP.NET Core设置客户端IP白名单验证

    原文链接:Client IP safelist for ASP.NET Core 作者:Damien Bowden and Tom Dykstra 译者:Lamond Lu 本篇博文中展示了如何在AS ...

  4. IP白名单

    一.什么是IP白名单 公众平台后台新增了IP白名单功能.通过开发者ID及密码调用获取access_token接口时,需要设置访问来源IP为白名单. IP白名单是指一组IP列表,只有该列表中的IP地址的 ...

  5. IP白名单的实现(PHP)

    有些项目可能会用到一个IP地址的白名单黑名单之类的验证. 比如,只有IP地址在白名单中,才可以访问该系统. 那么此时,白名单的维护,一般是一个文件,里边是一些IP地址(每行一个IP),当然也有的可能是 ...

  6. Windows Azure Web Site (14) Azure Web Site IP白名单

    <Windows Azure Platform 系列文章目录> 我们知道,在Azure Cloud Service和Virtual Machine,可以通过Endpoint ACL (Ac ...

  7. 解决微信公众平台IP白名单

    微信公众平台,作为自媒体的旗舰级产品,越来越多的人已经投入它的怀抱.正如它的广告词所说:再小的个体,也有品牌 好吧,闲话不多说,今天要说的是它的IP白名单机制. 我们现在安装的大部分的电信的家庭级别的 ...

  8. 微信公众平台宣布增加接口IP白名单提高安全性

    微信公众平台目前已经发布通知在平台接口调用上为了提高安全性需要添加IP白名单并仅允许白名单IP调用. 目前微信公众平台面向开发者主要提供的开发者ID和开发者密钥,在调用时ID和密钥通过检验即可进行调用 ...

  9. 算法题:实现一个IP白名单过滤器

        最近看到一则招聘的JD,附了一个算法题的链接,原题如下: 请实现一个IP白名单过滤算法,实现以下接口 boolean addWhiteIpAddress(String ip); boolean ...

随机推荐

  1. Springboot实现filter拦截token验证和跨域

    背景 web验证授权合法的一般分为下面几种 使用session作为验证合法用户访问的验证方式 使用自己实现的token 使用OCA标准 在使用API接口授权验证时,token是自定义的方式实现起来不需 ...

  2. 记录weiye项目上线遇到的一些问题

    1.使用vpn访问客户内网 参考:http://jingyan.baidu.com/article/a3f121e4f9903cfc9052bb0b.html 2.设置使用ip地址直接访问项目(之后可 ...

  3. jquery返回页面顶部

    1.此博文图片样式引用腾讯网站,效果如下: 2.样式设置: #toTop { /*选中的背景图片的大小*/ width: 54px; height: 54px; display: none;/*刚开始 ...

  4. linux shell cat 命令

    cat:查看文件的内容.连接文件.创建一个或多个文件和重定向输出到终端或文件  用法:cat [选项] [文件] 1. $ cat hello.txt 显示hello.txt文本文件中的内容 2. $ ...

  5. bochs配置文件解释说明

    ############################################### # Configuration file for Bochs ##################### ...

  6. UVA725 Division 除法【暴力】

    题目链接>>>>>> 题目大意:给你一个数n(2 <= n <= 79),将0-9这十个数字分成两组组成两个5位数a, b(可以包含前导0,如02345 ...

  7. DB安装

    start from the execute file : DB2_ESE_10_Win_x86-64\setup.exe Navigator to "Install a Product&q ...

  8. kolla之docker私有仓库创建

    kolla镜像自从P版以后就没有向之前版本直接下载一个tar然后放入仓库那么简单了. 正式开始搭建仓库: 1.启动仓库容器 docker run  -d -v /opt/registry:/var/l ...

  9. 怎么把html页面中共用的底部代码做成共享模块

    问: 很多时候,我们在设计网站时会发现,站内每一个页面的header跟footer其实都是一样的,如果每个页面都写header跟footer就会显示代码冗余而且维护也不方便, 这时候最好的做法就是把相 ...

  10. .Net机试题——编写一个BS架构的多层表结构的信息管理模块

      要求: 编写一个BS架构的多层表结构的信息管理模块,用户体验需要注意.包含错误处理,需要最终能完整的跑起来.页面可以不美化,但是整洁还是必须的.在不能完成详细功能需求的情况下优先保证基本功能. 1 ...