soul网关系列(十六):sign、waf插件源码解读

最新推荐文章于 2023-02-15 21:01:25 发布
最新推荐文章于 2023-02-15 21:01:25 发布
阅读量1.5k 收藏
点赞数 1
分类专栏: # soul网关系列
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bo_book/article/details/113622116
版权

目录

一、概述

  • sign插件
    • sign插件是 soul网关自带的,用来对请求进行签名认证的插件。
    • 采用Ak/SK鉴权技术方案。
    • 采用鉴权插件,责任链的模式的模式来完成。
    • 当鉴权插件开启,并配置所有接口鉴权时候生效。
  • waf插件
    • waf插件,是网关的用来对流量实现防火墙功能的核心实现。

二、sign插件

3.1 相关配置

  1. soul网关引入了soul-spring-boot-starter-plugin-sign

  2. 在soul-admin中开启sign-plugin插件

  3. Admin web端-System Manage-Authentication里添加一个AK/SK 记录
    在这里插入图片描述
    在这里插入图片描述

  4. 然后在sign插件里配置selector和rule
    在这里插入图片描述
    在这里插入图片描述

  5. 像之前一样的请求会报如下错误
    在这里插入图片描述

  6. sign生成方式

需要请求的path、header中的timestamp、以及sk。

生成方式是按照path{path}timestamp{timestamp}version{1.0.0}{sk}的方式形成字符串。如果path为/sofa/findAll,header中的timestamp是1612371127000,sk是8103F45D19464A59A0F339CBC1C4641C,
那么sign=MD5(“path/sofa/findAlltimestamp1612371127000version1.0.08103F45D19464A59A0F339CBC1C4641C”).toUpperCase()=72F2B69CBB8477B10D56EDFA666396B7。请求header中应该有如下4个信息才能过验证:
在这里插入图片描述

3.2 源码解读

/**
 * The type Default sign service.
 *
 * @author xiaoyu
 */
@Slf4j
public class DefaultSignService implements SignService {
    
    //可以自定义sign过期时间,单位为分钟
    @Value("${soul.sign.delay:5}")
    
    private int delay;
    
    @Override
    public Pair<Boolean, String> signVerify(final ServerWebExchange exchange) {
        PluginData signData = BaseDataCache.getInstance().obtainPluginData(PluginEnum.SIGN.getName());
        //需要配置 sign 插件且 sign 插件是激活状态
        if (signData != null && signData.getEnabled()) {
            final SoulContext soulContext = exchange.getAttribute(Constants.CONTEXT);
            assert soulContext != null;
            //执行verify方法校验签名
            return verify(soulContext, exchange);
        }
        return Pair.of(Boolean.TRUE, "");
    }
    
    private Pair<Boolean, String> verify(final SoulContext soulContext, final ServerWebExchange exchange) {
    	//任意为空,则失败
        if (StringUtils.isBlank(soulContext.getAppKey())
                || StringUtils.isBlank(soulContext.getSign())
                || StringUtils.isBlank(soulContext.getTimestamp())) {
            log.error("sign parameters are incomplete,{}", soulContext);
            return Pair.of(Boolean.FALSE, Constants.SIGN_PARAMS_ERROR);
        }
        //获取当前的时间戳
        final LocalDateTime start = DateUtils.formatLocalDateTimeFromTimestampBySystemTimezone(Long.parseLong(soulContext.getTimestamp()));
        final LocalDateTime now = LocalDateTime.now();
        final long between = DateUtils.acquireMinutesBetween(start, now);
        //跟delay做比对,timestap不能比现在早过5分钟
        if (between > delay) {
            return Pair.of(Boolean.FALSE, String.format(SoulResultEnum.SING_TIME_IS_TIMEOUT.getMsg(), delay));
        }
        return sign(soulContext, exchange);
    }
    
    /**
     * verify sign .
     *
     * @param soulContext {@linkplain SoulContext}
     * @return result : True is pass, False is not pass.
     */
    private Pair<Boolean, String> sign(final SoulContext soulContext, final ServerWebExchange exchange) {
        final AppAuthData appAuthData = SignAuthDataCache.getInstance().obtainAuthData(soulContext.getAppKey());
        //appKey是"认证管理"页面分发出去的,否者验签失败
        if (Objects.isNull(appAuthData) || !appAuthData.getEnabled()) {
            log.error("sign APP_kEY does not exist or has been disabled,{}", soulContext.getAppKey());
            return Pair.of(Boolean.FALSE, Constants.SIGN_APP_KEY_IS_NOT_EXIST);
        }
        List<AuthPathData> pathDataList = appAuthData.getPathDataList();
        if (CollectionUtils.isEmpty(pathDataList)) {
            log.error("You have not configured the sign path:{}", soulContext.getAppKey());
            return Pair.of(Boolean.FALSE, Constants.SIGN_PATH_NOT_EXIST);
        }
   		//查看path是否在配置列表中
        boolean match = pathDataList.stream().filter(AuthPathData::getEnabled)
                .anyMatch(e -> PathMatchUtils.match(e.getPath(), soulContext.getPath()));
        if (!match) {
            log.error("You have not configured the sign path:{},{}", soulContext.getAppKey(), soulContext.getRealUrl());
            return Pair.of(Boolean.FALSE, Constants.SIGN_PATH_NOT_EXIST);
        }
        // 根据之前介绍的sign生成逻辑再生成一遍签名sign
        String sigKey = SignUtils.generateSign(appAuthData.getAppSecret(), buildParamsMap(soulContext));
        boolean result = Objects.equals(sigKey, soulContext.getSign());
        //校验sign是否合法
        if (!result) {
        	/ 不同验签失败
            log.error("the SignUtils generated signature value is:{},the accepted value is:{}", sigKey, soulContext.getSign());
            return Pair.of(Boolean.FALSE, Constants.SIGN_VALUE_IS_ERROR);
        } else {
            List<AuthParamData> paramDataList = appAuthData.getParamDataList();
            if (CollectionUtils.isEmpty(paramDataList)) {
                return Pair.of(Boolean.TRUE, "");
            }
            paramDataList.stream().filter(p ->
                    ("/" + p.getAppName()).equals(soulContext.getContextPath()))
                    .map(AuthParamData::getAppParam)
                    .filter(StringUtils::isNoneBlank).findFirst()
                    .ifPresent(param -> exchange.getRequest().mutate().headers(httpHeaders -> httpHeaders.set(Constants.APP_PARAM, param)).build()
            );
        }
        return Pair.of(Boolean.TRUE, "");
    }
    
    private Map<String, String> buildParamsMap(final SoulContext dto) {
        Map<String, String> map = Maps.newHashMapWithExpectedSize(3);
        map.put(Constants.TIMESTAMP, dto.getTimestamp());
        map.put(Constants.PATH, dto.getPath());
        map.put(Constants.VERSION, "1.0.0");
        return map;
    }
}
  • 整体逻辑比较简单
  • 用时间看请求是否在效期内5分钟内
  • 用约定的签名方式同样生成出1个签名,如果和请求带的签名相同则表明验签通过。这套逻辑在sk\ak不丢失的情况下保证了请求这是合法有效的。

四、waf插件

4.1 配置

  1. 在网关的 pom.xml 文件中添加 waf 的支持。
 <!-- soul waf plugin starter-->
 <dependency>
     <groupId>org.dromara</groupId>
     <artifactId>soul-spring-boot-starter-plugin-waf</artifactId>
     <version>${project.version}</version>
 </dependency>
 <!-- soul waf plugin end-->
  1. 在 soul-admin –> 插件管理-> waf 设置为开启。
  2. 插件编辑里面新增配置模式。
{"model":"black"}
  • 默认为黑名单模式,设置值为 mixed 则为混合模式.
  • 当 model 设置为 black 模式的时候,只有匹配的流量才会执行拒绝策略,不匹配的,直接会跳过。
  • 当 model 设置为 mixed 模式的时候,所有的流量都会通过 waf插件,针对不同的匹配流量,用户可以设置是拒绝,还是通过。
    在这里插入图片描述
  1. 配置selectorList
    在这里插入图片描述
  2. 配置ruleList
    在这里插入图片描述
  3. postman测试
    在这里插入图片描述
    可以看到waf插件已生效

4.2 源码解读

    protected Mono<Void> doExecute(final ServerWebExchange exchange, final SoulPluginChain chain, final SelectorData selector, final RuleData rule) {
        WafConfig wafConfig = Singleton.INST.get(WafConfig.class);
        // 选择器和rule都为空时处理逻辑
        if (Objects.isNull(selector) && Objects.isNull(rule)) {
            // 如果是黑名单模式,则直接到下一个插件
            if (WafModelEnum.BLACK.getName().equals(wafConfig.getModel())) {
                return chain.execute(exchange);
            }
            // 如果是混合模式,则流量都会通过waf插件,默认都拒绝 403
            exchange.getResponse().setStatusCode(HttpStatus.FORBIDDEN);
            Object error = SoulResultWrap.error(403, Constants.REJECT_MSG, null);
            return WebFluxResultUtils.result(exchange, error);
        }
        String handle = rule.getHandle();
        WafHandle wafHandle = GsonUtils.getInstance().fromJson(handle, WafHandle.class);
        // 配置规则不完整,容错处理
        if (Objects.isNull(wafHandle) || StringUtils.isBlank(wafHandle.getPermission())) {
            log.error("waf handler can not configuration:{}", handle);
            return chain.execute(exchange);
        }
        // 如果是拒绝策略,则获取设置的拒绝状态码,提示message直接返回
        if (WafEnum.REJECT.getName().equals(wafHandle.getPermission())) {
            exchange.getResponse().setStatusCode(HttpStatus.FORBIDDEN);
            Object error = SoulResultWrap.error(Integer.parseInt(wafHandle.getStatusCode()), Constants.REJECT_MSG, null);
            return WebFluxResultUtils.result(exchange, error);
        }
        return chain.execute(exchange);
    }

五、小结

  • sign插件

    • pom引入sign插件
    • 在soul-admin中开启sign-plugin插件
    • admin端-System Manage-Authentication里添加一个AK/SK 记录
    • sign插件里配置selector和rule
    • 按规则填充headers参数,请求网关

  • waf插件

    • pom引入waf插件
    • 在soul-admin中开启waf-plugin插件,配置防火墙模式
    • 配置selector和rule
    • 请求验证
HDGM3
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
soul网关-4-sign插件签名认证
nemointellego的专栏
01-18 1430
一个网关的下游是多个业务线,如果这些业务线都有鉴权的需求,那么可以使用网关的鉴权功能,没必要每个业务线都自己实现一套鉴权的代码。除非是与业务强相关的鉴权,是那种不具有普适性的需求。 soul网关的鉴权功能是在sign插件模块,作为一个插件,是可以启用或者不启用的。我们来看下soul网关sign模块的大致功能。 1.首先将环境启动一下,启动soul-admin管理后台、启动网关soul-bootstrap、启动示例的springboot项目soul-example-http 2.在admin管理后台的sign
网安工具系列:雷池WAF简介、上手指南(官方版本+亲测有效)
02-16
网安工具系列:雷池WAF简介、上手指南(官方版本+亲测有效)
Soul 网关源码分析(四)sign 插件
头脑快乐
01-19 562
在上一节中,我们尝试dubbo插件将http协议转换成dubbo协议,今天我们来看看 sign 插件是如何实现请求鉴权的。 流程演示 我们先试试没有添加sign插件时,是否能正常请求接口: ➜ ~ curl localhost:9195/dubbo/findAll {"code":200,"message":"Access to success!","data":{"name":"hello world Soul Alibaba Dubbo , findAll","id":"-803129909"}}
Soul网关源码阅读19-解析sign插件
xiaoxu的博客
02-06 611
sign插件soul网关自带的,用来对请求进行签名认证的插件,下面来解析一下sign插件。 一、环境搭建 soul-admin 开启 sign 插件:系统管理 --> 插件管理 soul-bootstrap soul-bootstrap/pom.xml <!-- soul sign plugin start--> <dependency> <groupId>org.dromara</groupId> <artif
soul网关源码解析-sign插件的使用
坚持需要成为习惯
02-05 203
soul-bootstrap项目pom文件引入jar包 <dependency> <groupId>org.dromara</groupId> <artifactId>soul-spring-boot-starter-plugin-sign</artifactId> <version>${project.version}</versi
Soul源码解析(19)-Soul网关sign插件源码解读
qq_38314459的博客
02-05 365
一、目标 1、解读Soul网关sign插件签名算法; 2、解读sign插件主要业务罗逻处理代码; 二、内容 2.1 背景 上一节,我们一起学习了sign插件的使用,体验了sign插件的主要功能,具体的使用流程可以参考: Soul源码解析(18)-Soul网关sign插件使用:https://blog.csdn.net/qq_38314459/article/details/113658890 2.2 SignPlugin插件分析 SignPlugin插件继承了AbstractSoulPlugin,这里核心的
ftw:测试WAF的框架(FTW!)
05-03
WAF测试框架(FTW) 目的 该项目是由ModSecurity和Fastly的研究人员创建的,旨在为WAF规则提供严格的测试。 它使用OWASP Core Ruleset V3作为基线来测试WAF上的规则。 规则集中的每个规则都加载到YAML文件中,该文件...
identYwaf:盲WAF识别工具
02-06
identYwaf是一种识别工具,可以基于盲目推断来识别Web保护类型(即WAF)。 通过检查一组预定义的攻击性(非破坏性)有效负载引起的响应来进行盲目推断,其中,这些有效负载仅用于触发介于两者之间的Web保护系统...
WAF防火墙工具源码-SafeLine
最新发布
06-10
一个简单、轻量级、安全且广受好评的 Web 防火墙工具WAF。基于Nginx开发,并连接成反向代理。保护您的web应用免受常见攻击和利用。
安恒信息专家:讲述WAF 防护核心WEB应用
10-24
随着互联网技术的发展,WEB应用越来越受到业务系统的重视,WEB应用已经与我们的核心业务系统密不可分。如今的电子政务、电子商务、网上银业、网上营业厅等均以WEB为载体。WEB也由原来的网站浏览的代名词转变为诸如...
开源编译工具waf的源代码
09-07
WAF是基于python的一种开源编译系统,作者是Thomas Nagy。 WAF支持C/C++、C#、Java、Python、Fortran、D语言(gdc和dmd均支持)等等。 正如waf wiki所说,Ant更适合编译Java项目,Make在设计上具有局限性,个人推荐这款在多种编程语言在多平台混编时表现不俗的编译系统。 该开源代码遵循新BSD许可证,从google code上可免费获得最新源代码,目前最新版本为1.7.16。由于国内对google访问权限的限制,本人在此备份一份waf源代码作个人参考。
waf源代码---基于Python脚本
04-05
APM的编译软件,用于编译运行现有的arudupilot软件。实际为Python脚本写的。参照ardupilot官网。
waf 2.0.2源码.zip
09-23
WAF是基于python的一种开源编译系统,作者是Thomas Nagy。 WAF支持C/C++、C#、Java、Python、Fortran、D语言(gdc和dmd均支持)等等。 正如waf wiki所说,Ant更适合编译Java项目,Make在设计上具有局限性,个人推荐这款在多种编程语言在多平台混编时表现不俗的编译系统
WPF应用程序框架(WAF)v2.5.0.7源码2012825
08-25
WPF应用程序框架(WAF)v2.5.0.7源码 源码描述: WPF应用程序框架(WAF)是一个轻量级的框架,可以帮助您创建结构良好的WPF应用程序。 它支持你在申请一个分层的架构和模型-视图-ViewModel(又名MVVM, M-V-VM, PresentationModel)模式。 特点 WPF应用程序框架(WAF) ViewModel的:包含类型,帮助你实现的Model-View-ViewModel模式。 DataModel的:基类的应用,支持你的DataModel-View - ViewModel模式。 DelegateCommand:DelegateCommand允许你来处理视图比其他类别的WPF命令。 INotifyPropertyChanged的:基类实现INotifyPropertyChanged接口。实施检查中的属性名称的DEBUG模式。 WeakEvent:第一类支持的WPF WeakEvent模式,它可以帮助你避免内存泄漏。 验证:DataErrorInfoSupport类带来的IDataErrorInfo接口与DataAnnotations的验证框架。 ConverterCollection:这个集合是能够保持同步模型的ObservableCollection DataModels。 服务:显示一条消息或打开/保存文件对话框,向用户提供服务。 最近的文件:RecentFileList类提供了最近的文件列表,可以装载和存储在应用程序设置的逻辑。 单元测试扩展 例如:如果一个action结果在一个特殊的exception,可以用ExpectedException方法来测试。 PropertyChanged:提供了一个辅助方法来测试如果一个属性改变事件是当一个特定的行动提出被执行。 CanExecuteChangedEvent:一个helper方法来测试一个CanExecute改变事件是当一个特定的行动提出被执行。 v2507更新信息 图例: [b]打破变化; [O]标记为过时成员 WAF的:添加CollectionHelper.GetNextElementOrDefault方法。 InfoMan:支持创建一个新的电子邮件,并保存在发送框中。 InfoMan:新的电子邮件:选择从地址簿中的电子邮件地址。 InfoMan:显示在导航窗格中的项目数。 InfoMan:支持删除的电子邮件。 InfoMan:加入在Common.Presentation搜索盒的控制和使用,在EmailCli??ent通讯录模块。 InfoMan:设计数据添加到通讯录意见。
maiev-waf:众安开源waf引擎
02-03
maiev-waf:众安开源waf引擎
3.Soul网关接入与验证
小波的博客
07-12 1636
此章节将基于上一章节基础之上,引入Soul网关,至于Soul网关是干什么的,怎么做的,我们会在后续章节讲解,1-3章节侧重于搭建应用。 本章节的Soul网关接入,如果你1,2章节都是和我保持一致,那么只需要直接启动Soul网关即可,但是对应的provider,consumer应用是需要额外的代码接入的。 开发环境和第二章保持一致。 3.1 提供者接入Soul 3.1.1 pom <dependency> <groupId>org.dromara</group.
Web应用防护系统OpenWAF开源CC防护模块
Listen2You的博客
04-26 4484
导读 OpenWAF自从去年10月开源,半年来已经陆陆续续开源了各大模块,受到了多方的大量关注。最近更是刚刚开源了大家都很期待的CC模块! OpenWAF自从去年10月开源,半年来已经陆陆续续开源了各大模块,受到了多方的大量关注。最近更是刚刚开源了大家都很期待的CC模块! 什么是CC?OpenWAF的CC防护又能做些什么?下面我们就会为您详细介绍。 什么是CC? 举个
wafw00f源码浅析
南迪叶先森
07-13 627
公粽号:黒掌 一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主! 简介 https://github.com/EnableSecurity/wafw00f/ Wafw00f是一款知名的WAF识别工具,目前Github有2300的Star,由Python编写。简单测试了几个网站,发现识别效果不是那么好 目录分析 整体 docs:sphinx自动生成文档的工作 wafw00f:代码 setup.py:安装脚本 wafw00f bin:启动文件,执行这里的脚本即可启动程序 lib:asciia.
wafw00f源码及流量特征分析
ALLEN'Blog
02-15 541
这不是本次的重点,相关介绍及使用方法相信大家已经了解,所以此处就直接引用其开发者对该工具的介绍。通过发送正常的HTTP请求并且分析其返回包,判断其是否使用 WAF ,若使用确认WAF类型若是无法通过正常的HTTP请求结果分析出是否使用WAF以及其类型,则构造恶意的请求通过简单的逻辑再次进行判断如果这也不成功,它会分析之前返回的响应,并使用另一种简单的算法来猜测WAF或安全解决方案是否正在积极响应我们的攻击。
sudo: .waf/:找不到命令
08-24
根据您提供的引用内容,sudo: .waf/:找不到命令 的错误信息表示在使用sudo命令时,系统无法找到名为.waf/的命令。这可能是因为您尝试以root权限执行名为.waf/的命令,但该命令不存在或未正确安装。 要解决这个问题,您可以执行以下步骤: 1. 确认您要执行的命令的完整路径。在终端中输入`which .waf/`,它将显示命令的路径。如果输出为空或显示找不到命令的错误,那么可能是您没有正确安装或配置该命令。 2. 如果您确定命令已正确安装,但仍然无法找到,请检查是否将命令所在的目录添加到sudo的环境变量中。您可以编辑sudo的配置文件,通常位于`/etc/sudoers`,并确保您的命令所在目录已添加到sudo的secure_path选项中。 3. 如果您是在虚拟机中运行命令,并且在虚拟机中安装了不同的操作系统或环境,请确保您在正确的虚拟机中执行命令,并且已经正确安装和配置了所需的软件。 请注意,根据提供的引用内容,您的问题中未提到.waf/的具体用途和目的。如果您需要更具体的帮助,请提供更多上下文和详细信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [为什么linux中sudo执行会“找不到命令”](https://blog.csdn.net/weixin_33964987/article/details/116694368)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [sudo python 未找到命令,sudo后不切换python环境](https://blog.csdn.net/qq_40570751/article/details/118144301)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值