缘起

如题,想要用geoserver实现一个互联网地图那样的key许可功能,来控制地图服务的访问权限。

最终想要的效果就是类似下图中百度地图那样,申请个key,可以设置这个key能访问哪些地图服务资源,可以设置应用服务器ip白名单

然后把key放到地图API中,就能控制地图服务的访问权限。

可行性分析

要使用geoserver实现上述功能,需要解决下面3个问题:

  1. 如何实现key验证访问?
  2. 如何控制key能访问哪些地图服务?
  3. 如何实现服务器ip白名单?

如何实现key验证访问

geoserver发布的地图服务,默认没有进行权限控制,任何人拿到地址都可以访问地图。

我们想要的效果是,在访问geoserver服务时,需要在参数中增加一个key的参数,有这个key才能访问地图。

这个功能,geoserver是支持的

geoserver有个AuthKey的插件,支持接入外部的身份验证接口,我们可以通过自己编写外部的身份验证接口,来自己生成key、验证key,geoserver只负责转发和获取验证结果。外部接口返回的是geoserver用户名称。

然后再设置一下geoserver的拦截器,规定哪些请求必须要进行上面的验证。

如何控制key能访问哪些地图服务?

key的访问权限是通过geoserver用户的访问权限来设置的,前面验证key时,已经返回了用户名。

用户的权限通过角色控制,所以每次创建key时,需要同时创建用户和角色,并设置角色的访问权限。

这个环节可以使用geoserver的rest控制接口解决,使用rest控制接口可以通过程序自动完成上述配置。

如何实现服务器ip白名单

geoserver 作为一个服务端,它只能获取到客户端的ip,无法获取到应用服务器的ip。

如果想要获取的应用服务器的ip,就需要前端有个内应,这个内应就是js地图api,它可以在客户端的地址栏中获取到应用服务器的ip,然后传给服务端。

具体到geoserver这边,我们还是利用前面外部验证接口,在js地图Api中,把地址栏获取到的应用服务器ip和key拼一起,通过 AuthKey 的外部验证接口转发给自己的后台,后台再将ip提取出来。

地址栏ip和key的拼接,可以使用公钥、私钥模式,js地图api中使用公钥加密,后台使用私钥解密,这样可以避免明文传输ip地址。防止别人串改ip后非法访问地图。

这样就能实现对应用服务器ip的验证了。

流程梳理

好了,现在我们已经完成了可行性分析

接下来我们梳理一下,申请key和使用key访问地图的流程。

申请key

  1. 在申请地图key的页面,输入应用名称、应用部署的服务器ip、勾选需要的地图服务,然后生成个key
  2. 调用geoserver的rest控制接口,创建角色、用户、设置角色可以访问的地图服务
  3. 将key、应用服务器ip和geoserver用户进行关联并保存到数据库

访问地图

  1. 开发地图应用时,把申请到的key传入自己写的js地图api
  2. js地图api内部获取浏览器地址栏ip,这个ip就是应用服务器ip,将ip和key使用公钥加密,生成newkey,并在请求geoserver服务时将newkey作为参数传给geoserver
  3. geoserver的拦截器拦截到请求后,将newkey提取出来,转发给我们自己写的权限验证接口
  4. 权限验证接口接收到newkey后,使用私钥解密,就能获取到key和应用服务器ip,然后去数据库比对是否有符合这两个条件的数据,如果有就返回对应的geoserver用户名
  5. geoserver拦截器接收到验证接口返回的用户名后,查询该用户拥有的角色,再比对角色的权限中是否有本次请求的地图服务。有就返回数据,没有就打回。

这样一整套流程下来,就实现了用geoserver,实现类似互联网地图那样的key验证方式来控制地图的访问权限

实施步骤

接下来详细介绍一下拦截器设置和用户权限设置。

geoserver的拦截器设置一次就行。

key、用户、角色是一一对应的,所以每次新增key时,都要去通过rest接口去新建用户和角色并设置角色的地图访问权限。

拦截器设置

这一步其实就是通过界面来配置geoserver的拦截器,分两步,一是配置访问哪些地址时进行拦截,也就是配置拦截规则,二是配置拦截下来后验证key是否有效,也就是配置验证规则

具体操作为先配置验证规则,再将验证规则添加拦截规则中

配置key验证规则

按下图操作

低版本geoserver可能没有authkey功能,需要去官网下载对应版本的Key authentication插件并手动安装

点击AuthKey后,会出现下图中的界面

“1”那里自己随便填一个,比如就叫做uuid_authkey

“2”那里选择webservice。这个选项的意思是,geoserver会使用外部接口验证key是否有效,到时geoserver会通过get方式将key传给外部接口,外部接口负责验证key是否有效,如果有效就返回用户名。

“3”那里配置外部接口的调用地址,geoserver调用时,会自动将{key}换成真实的key

其它选项保持默认就可以

我用java写了个外部接口的示意代码,来大概说明一下里面的逻辑,其实就是根据key获取geoserver用户名

身份验证设置完以后点击保存按钮,它就会出现在下面的列表中。

配置服务拦截规则

接下来我们配置拦截规则,配置界面如下图:

我们点击最下面的 default

把我们刚才设置的身份验证规则添加到 anonymous 规则前面

这个列表从上到下是身份验证的先后顺序,anonymous 的意思是任何人可以匿名访问,如果把我们新增的规则放到了anonymous 的后面,就不会起作用了。

default里面能拦截wms和wfs请求,但不会拦截wmts和tms请求,我们需要新建一个规则,用来拦截wmts和tms请求。

wmts和tms属于瓦片缓存,归geowebcache管理,geowebcache的网络请求地址为 gwc,所以我们新建拦截规则时,规则设置为/gwc/**,然后将我们的uuid_authkey用户验证规则添加上,名称随便填一个,比如 tile,如下图:

注意:这个页面没有保存按钮,编辑后需要返回上一个界面进行保存。

添加完成后,调整 tile 规则的位置,放到 default 上面,然后保存。

这样就实现了geoserver的key验证。

用户权限设置

这里直接列出需要使用的rest接口地址

名称 地址
添加角色 http://127.0.0.1:7200/geoserver/rest/security/roles/role/{role}
添加用户 http://127.0.0.1:7200/geoserver/rest/security/usergroup/users/
用户指定角色 http://127.0.0.1:7200/geoserver/rest/security/roles/role/{role}/user/{user}
设置角色访问权限 http://127.0.0.1:7200/geoserver/rest/security/acl/layers

使用rest接口时要注意两点:

1、geoserver的rest接口原则上支持xml和json格式的参数,但实际不一定,如果你用其中一种格式没有成功,这时不要吊死在一棵树上,可以换个格式试试。我就遇到了在添加用户时xml格式好使json格式不好使,但在设置权限时xml格式又不好使,json格式好使。

2、设置角色访问权限接口的参数和文档介绍的有所不同,这里要注意一下,正确的是下面这种:

{
"workspace.*.r": "rolename"
}

geoserver的rest接口说明:https://www.osgeo.cn/geoserver-user-manual/rest/index.html#rest

我用 Postman 导出了一份儿 java Unirest 的代码,供大家参考:http://gisarmory.xyz/blog/index.html?source=geosreverAuthkey

总结

  1. geoserver用户权限不仅支持对管理界面的控制,还支持对地图服务请求的控制
  2. 地图服务的控制需要结合key验证的方式实现,通过配置geoserver的拦截器和验证规则,可以把key和用户关联起来
  3. geoserver只支持对客户端ip的验证,想要验证应用服务器的ip,需要借助js地图api实现

参考资料:

  1. https://blog.csdn.net/a571574085/article/details/115659432
  2. https://blog.csdn.net/qq_38000851/article/details/113870725
  3. https://www.cnblogs.com/defineconst/p/13884616.html
  4. https://www.cnblogs.com/HandyLi/p/8624507.html
  5. https://www.osgeo.cn/geoserver-user-manual/extensions/geofence-server/index.html
  6. https://www.osgeo.cn/geoserver-user-manual/rest/index.html#rest
  7. https://github.com/geoserver/geofence

原文地址:http://gisarmory.xyz/blog/index.html?blog=geosreverAuthkey

欢迎关注《GIS兵器库

本文章采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。欢迎转载、使用、重新发布,但务必保留文章署名《GIS兵器库》(包含链接:  http://gisarmory.xyz/blog/),不得用于商业目的,基于本文修改后的作品务必以相同的许可发布。

geoserver控制服务访问权限-类似百度地图的key的更多相关文章

  1. 如何申请百度地图用户Key

    打开网页http://lbsyun.baidu.com/,进入百度地图开发平台. 单击[登录],登录百度账号.如果您还没有百度账号,单击箭头处[立即注册]注册百度账号. 登录完成后,单击右上角箭头处[ ...

  2. SQLServer控制用户访问权限表

    连接地址:http://www.cnblogs.com/yxyht/archive/2013/03/22/2975880.html 一.需求 在管理数据库过程中,我们经常需要控制某个用户访问数据库的权 ...

  3. MVC5+EF6 --自定义控制Action访问权限

    本章主要讲解在MVC中灵活控制Action的访问权限: 本章所使用的示例表也是上一张所使用的TbUser.TbRole.TbUserRole: 最终的效果是针对任意一个Action或Controlle ...

  4. COM组件服务访问权限

    解决办法 :添加ASP.NET权限访问COM组件服务. IIS 5 上为 {MACHINE}\ASPNET IIS 6 和 IIS 7 上为网络服务:NETWORK SERVICE IIS 7.5 上 ...

  5. 使用Spring安全表达式控制系统功能访问权限

    一.SPEL表达式权限控制 从spring security 3.0开始已经可以使用spring Expression表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限.Spring ...

  6. Chapter6_访问权限控制_访问权限修饰词

    Java中有四种访问权限,public,private,protected和包访问权限,它们是置于类中每一个成员之前的定义,无论是一个域还是一个方法,下面一一介绍. 一.包访问权限 如果不提供任何访问 ...

  7. 【详细教程】论android studio中如何申请百度地图新版Key中SHA1值

    一.写在前面 现在越来越多的API接口要求都要求提供我们的项目SHA1值,开发版目前还要求不高,但是发布版是必定要求的.而目前定位在各大APP中也较为常见,当下主流的百度地图和高德地图都在申请的时候会 ...

  8. 基于位置的服务——百度地图SDK练习

    基于位置的服务所围绕的核心就是要先确定出用户所在的位置.通常有两种技术方式可以实现:一种是通过GPS定位,一种是通过网络定位.Android对这两种定位方式都提供了相应的API支持.但由于众所周知的原 ...

  9. 用Lua控制Nginx静态文件的url访问权限

    需求背景:比如我们有一个存储文件的web服务器,一般通过url可直接访问到:http://127.0.0.1/uploads/test.rar,如果我们需要限制别人的访问,可以通过添加lua脚本来控制 ...

随机推荐

  1. c++ 的学习 第二集函数的重载

    1. 规则 函数名相同参数个数不同.参数类型不同.参数顺序不同 2. 注意 返回值类型与函数重载无关 调用函数时,实参的隐式类型转换可能会产生二义性 返回值类型与函数重载无关 什么意思? 返回 ...

  2. P5048-[Ynoi2019 模拟赛]Yuno loves sqrt technology III【分块】

    正题 题目链接:https://www.luogu.com.cn/problem/P5048 题目大意 就是这个 [QA]区间众数,但空间很小 长度为\(n\)的序列,要求支持查找区间众数出现次数. ...

  3. P7514-[省选联考2021A/B卷]卡牌游戏【贪心】

    正题 题目链接:https://www.luogu.com.cn/problem/P7514 题目大意 给出\(n\)个卡牌有\(a_i/b_i\),开始都是\(a_i\)朝上,将不超过\(m\)张卡 ...

  4. CF848E-Days of Floral Colours【dp,分治NTT】

    正题 题目链接:https://www.luogu.com.cn/problem/CF848E 题目大意 \(2n\)个花排成一个圆环,\(n\)种颜色每种两个,要求两个相同颜色之间最小距离为\(1, ...

  5. Css预编译(Sass&&Less)

    目录 Less与Sass是css的预处理技术 而CoffeeScript.TypeScript则是javascript的预处理技术. Less与Sass是css的预处理技术 而CoffeeScript ...

  6. Feign 400错误引发的一系列问题

    Feign 400错误引发的一系列问题 问题介绍 在使用Feign进行远程调用的时候出现非常奇怪的400错误,错误信息大概如下: feign.FeignException: status 400 re ...

  7. SpringBoot 简易实现热搜邮件推送,妈妈再也不用担心我不了解国家大事了

    1.前言 上班的时候,无聊的时候,偶尔跑去百度看下热搜,所以就萌生出这种想法,通过邮件推送的方式实现效果,首先找到百度热搜的页面 热搜,话不多说,直接开干. 2.环境准备 因为是个SpringBoot ...

  8. css 弹性盒子--“垂直居中”--兼容写法

    使用弹性盒子兼容低端适配有时需要: display:flex 和 display:-webkit-box   display: -webkit-box; -webkit-box-align: cent ...

  9. 前端VUE基于gitlab的CI_CD

    目录 CI 1.Gitlab的CI 1.1 GitLab-Runner 1.2 .gitlab-ci.yml 1.3 配置.gitlab-ci.yml 1.3.1 Pipeline概念 1.3.2 S ...

  10. PAT (Basic Level) Practice (中文)1007 素数对猜想 (20分)

    1007 素数对猜想 (20分) 让我们定义d​n为:dn = pn+1 − pn,其中p​i是第i个素数.显然有d1 = 1,且对于n > 1有dn是偶数."素数对猜想"认 ...