spring security实现IP动态添加白名单

最新推荐文章于 2024-07-23 15:23:14 发布
最新推荐文章于 2024-07-23 15:23:14 发布
阅读量6.1k 收藏 10
点赞数 2
分类专栏: security java 文章标签: java spring boot redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/L_zsen/article/details/118517148
版权

最近有个小需求:实现一个IP白名单的功能;指定ip可以无需登录认证即可访问指定的接口,非指定ip需要登录认证才能访问;
安全框架用spring security+jwt,安全配置类securityConfig继承WebSecurityConfigurerAdapter中可以配置hasIpaddress白名单;
但这个只能在初始化项目时通过字符串拼接access参数,没有达到ip动态添加删除的效果;
随后在百度了N篇文章后,参考动态url权限配置,自定义了一个决策器实现了功能,代码如下:


import com.hy.common.core.redis.RedisCache;
import com.hy.openapi.apimanger.config.APIConstant;
import org.springframework.security.access.AccessDecisionManager;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.authentication.InsufficientAuthenticationException;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.FilterInvocation;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher;

import javax.annotation.Resource;
import java.util.Collection;
import java.util.List;
@Component
public class CustomAccessDecisionManager implements AccessDecisionManager {

    @Resource
    private RedisCache redisCache;
    @Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, InsufficientAuthenticationException {
        FilterInvocation fi = (FilterInvocation) o;
        AntPathMatcher antPathMatcher = new AntPathMatcher();
        // 访问的ip
        String ipUrl = fi.getHttpRequest().getRemoteAddr();
        // 访问的接口地址
        String requestUrl = fi.getRequestUrl();
        // 获取白名单
        List<String> ipWhiteList = redisCache.getCacheList(APIConstant.IP_WHITE_LIST);
        // 判断是否是api接口
        if (antPathMatcher.match("/api/**",requestUrl)){
            // 判断是否在白名单中
            if (!ipWhiteList.contains(ipUrl)) {
                // 判断是否登录认证
                if (authentication.getPrincipal().equals("anonymousUser")){
                    throw new AccessDeniedException("认证失败");
                }
            }

        }
    }

    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

再在配置类中配置:

 @Resource
 private CustomAccessDecisionManager customAccessDecisionManager;

 ...
 httpSecurity
                // CSRF禁用,因为不使用session
                .csrf().disable()
                // 认证失败处理类
                .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
                // 基于token,所以不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                // 过滤请求
                .authorizeRequests()
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O o) {
                        o.setAccessDecisionManager(customAccessDecisionManager);
                        return o;
                    }
                })
                // 对于登录login 验证码captchaImage 允许匿名访问
                .antMatchers("/login", "/captchaImage").anonymous()

采用了redis存储、取出数据,避免重复查询数据库;
在项目初始化的时候将数据初始化进去

@Override
    public void run(ApplicationArguments args) {
        System.out.println("==========项目启动成功,开始初始化api接口、初始化IP白名单=============");
        List<String> ipWhiteList = ipWhiteListConfig.getIpWhiteList();
        // 将白名单放入redis
        redisCache.setCacheList(APIConstant.IP_WHITE_LIST,ipWhiteList);
     }

前台添加ip或删除ip的时候同时将redis里的数据更新下即可;
如果有大佬有更好的方案,还希望分享下。

L_zsen
关注
专栏目录
Spring Security5 学习6 - IP白名单
qq_41302594的博客
04-13 1773
Spring Security5(6)IP白名单 有些时候,为了方便放行,比如我们将应用程序部署在阿里云上,我们需要允许外网的所有人都可访问该ip地址,我们就可以通过 spring securityIP 白名单来进行操作。spring securityIP 白名单非常强大,细到限制一个软件的端口都可以做到。 首先,依然是创建一个springboot应用程序。应用以下依赖: sprin...
Spring Security 实现IP白名单机制
neweastsun的专栏
03-08 1万+
Spring Security 实现IP白名单机制 本文讨论如何在Spring Security实现IP白名单机制。先看看默认实现机制,同时也讨论自定义AuthenticationProvider实现更加灵活的应用。 1. 默认实现 首先我们看下Java配置。使用hasIpAddress() 定义允许特定ip地址的用户访问特定资源。请看下面使用hasIpAddress()的配置: @Confi...
Spring Security6.2.2配置白名单
qq_31706527的博客
03-14 1566
Spring Security6.2.2中AuthenticationFailureHandler、AuthorizeRequests已弃用,这个问题研究了很久。经过百度搜索和chatGPT查询,重要找到了解决方法,直接放代码。代码中的“/captcha”就是要变为不需要验证登录的路径。小白一个,如果有不对的地方还请大神指正!
SpringSecurity如何正确的设置白名单
最新发布
waooi的博客
07-23 935
SpringSecurity中,往往需要对部分接口白名单访问,而大部分在使用Security中就有一个误区,那就是免鉴权访问和白名单的区别。大部分的Security文章包括官方文档给出免鉴权访问都是使用去对相应路径进行免鉴权访问,但实际上这仅仅只表示该资源不需要相应的权限访问,但是用户还需要认证.也就是Securityd的认证/授权两个概念.
Spring整合JCaptcha和对于验证的ip白名单
Ashley的猫
03-02 2874
1.首先是先要在pom.xml里面加上Jcaptcha的依赖,或者导入jar包(commons-collections-3.2.1.jar和jcaptcha-1.0-all.jar) com.octo.captcha jcaptcha-all 1.0-RC6 quartz quartz commons-dbcp
spring实战-Spring-security权限认证白名单
热门推荐
乔布斯基的博客
08-21 2万+
第九篇:spring实战-Spring-security权限认证白名单 当我们为程序设置权限认证时,主要是希望能够保护需要保护的功能,并不是说所有的功能都需要被保护起来,比如说系统主页,帮助中心等等 此时我们可以通过白名单的方式,让某些功能对未登录用户公开,Spring-security提供了对固定路径,或者模糊匹配路径的保护 com.halfworlders.idat.config
springsecurity ip白名单
06-12
Spring Security中,你可以使用`IpAddressVoter`或自定义一个`AccessDecisionManager`来实现IP白名单策略。以下是一个简单的步骤: 1. 配置`IpAddressVoter`: ```java @Override public int vote...
ip白名单+java,Spring Security - 白名单IP范围
weixin_39926016的博客
03-01 406
A lot of resources and stackoverflow questions that I've viewed provide answers to using .xml files:All that I would like to know is if it's possible to whitelist an IP address range using Spring Secu...
java ip 白名单_javaSpring Security白名单IP范围
weixin_36410516的博客
02-24 652
我查看过的很多资源和stackoverflow问题都提供了使用.xml文件的答案:我想知道的是,如果可以在不使用XML配置的情况下使用Spring SecurityIP地址范围列入白名单?以下是我的控制器中的一个简单方法:@RequestMapping(value = "/makeit", method = RequestMethod.GET)@ResponseBody//@PreAuthori...
关于ip的过滤器 spring security例子
09-23
例子讲解可以参看博客:blog.csdn.net/dsundsun
SpringSecurity白名单路径不走自定义过滤器
qq_52614517的博客
07-01 1061
第二步:自定义过滤器不要注入到Spring容器中(也就是不要使用@Component注解)在securityConfig中使用new的方式将filter注册到security filter链中,交由security去管理。第一步:在SpringSecurity配置类中重写public void configure(WebSecurity web)方法。这样springsecurity白名单的路径就不会走自定义过滤器。参考:http://t.csdn.cn/AogH8。具体原因可以看上面博主的博文。
SpringSecurity Oauth2 - 10 自定义SpEL权限表达式配置白名单url不需要token认证和鉴权
你今天真好看呀
11-10 4397
*** MethodSecurityExpressionOperations 接口方法的属性/*** SecurityExpressionRoot 类中的属性/*** 判断是否是白名单WhiteUrl,不校验权限,不需要token// 白名单url,直接返回true return true;} /*** 修改 SecurityExpressionRoot 类中的该方法** 登录请求url是否是白名单WhiteUrl,如果是则不需要校验权限,直接返回true。
猫头虎分享:Springboot项目中实现IP白名单限制访问接口的深度探讨
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
02-19 3869
嗨,亲爱的读者们,我是猫头虎博主!🐾 今天,我们要一起探索的是如何在Springboot项目中巧妙地利用IP白名单来限制接口访问。这篇博客将详尽地讨论从搭建到实施的各个步骤,包括实际的测试接口和用例,以及一些额外的接口访问限制方案。无论你是初涉此领域的小白,还是资深的开发大佬,相信你都能从本文中获得有价值的知识和灵感哦!🌟在深入探讨如何在Springboot项目中实现IP白名单之前,让我们先了解一下Springboot框架和IP白名单的基本概念。
Spring Security 中如何快速查看登录用户 IP 地址等信息?
m0_61331237的博客
03-22 849
什么是ActiveMQ?ActiveMQ服务器宕机怎么办?丢消息怎么办?持久化消息非常慢怎么办?消息的不均匀消费怎么办?死信队列怎么办?ActiveMQ中的消息重发时间间隔和重发次数吗?
Spring Security】如何设置hasIpAddress及获取客户端请求的IP进行有效配置
yidragon88xx的专栏
08-06 3249
首先第一个问题,设置hasIpAddress的方法为: 在实现WebSeurityConfig配置文件中的WebSecurity部分设置,例如 http.authorizeRequests().antMatchers("/admin/user/getByUserName").access("hasIpAddress('127.0.0.1')... 当通过服务发现方式来调用时,由于客户机可能存在多个网卡的情况,导致这个配置IP不准确的情况,这个时候需要通过Spring Security Web源.
HttpServletRequest、ServerHttpRequest获取访问者真实IP,并设置ip白名单
SHUKAI618的博客
05-12 2683
在项目记录日志的时候和网关处理IP白名单的时候,通常会获取用户IP,一般都会从HttpServletRequest、ServerHttpRequest获取访问者真实IP 1.从HttpServletRequest中获取(日志打印的情况): public static String getIpAddr(HttpServletRequest request){ String ip = null; // X-Forwarded-For:Squid 服务代理 Str
Spring Security(五)--动手实现一个IP_Login
芋道源码
01-18 907
在开始这篇文章之前,我们似乎应该思考下为什么需要搞清楚Spring Security的内部工作原理?按照第二篇文章中的配置,一个简单的表单认证不就达成了吗?更有甚者,为什么我们不自己写一个表单认证,用过滤器即可完成,大费周章引入Spring Security,看起来也并没有方便多少。对的,在引入Spring Security之前,我们得首先想到,是什么需求让我们引入了Spring Security
Spring Security 实现动态刷新 URL 白名单
hdfg159的专栏
12-31 941
RequestMatcher SpringSecurity 动态刷新 白名单 URL
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值