Gateway的RemoteAddr与RemoteAddressResolver源码分析

已于 2023-11-03 09:18:53 修改
阅读量1k 收藏 1
点赞数 1
分类专栏: 源码分析 文章标签: gateway java spring
于 2023-03-17 17:18:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42764269/article/details/129622134
版权

1、RemoteAddr断言

1.1 源码解析

## RemoteAddrRoutePredicateFactorypublic Predicate<ServerWebExchange> apply(RemoteAddrRoutePredicateFactory.Config config) {
	//获取yml配置的地址信息,如下图获取的到地址是192.168.21.21
    final List<IpSubnetFilterRule> sources = this.convert(config.sources);
    return new GatewayPredicate() {
        public boolean test(ServerWebExchange exchange) {
        	//获取请求的地址(执行的代码就是下面那一个方法) 如下图获取到的是192.168.21.100
            InetSocketAddress remoteAddress = config.remoteAddressResolver.resolve(exchange);
            if (remoteAddress != null && remoteAddress.getAddress() != null) {
                String hostAddress = remoteAddress.getAddress().getHostAddress();
                String host = exchange.getRequest().getURI().getHost();
                if (RemoteAddrRoutePredicateFactory.log.isDebugEnabled() && !hostAddress.equals(host)) {
                    RemoteAddrRoutePredicateFactory.log.debug("Remote addresses didn't match " + hostAddress + " != " + host);
                }

                Iterator var5 = sources.iterator();

                while(var5.hasNext()) {
                    IpSubnetFilterRule source = (IpSubnetFilterRule)var5.next();
                    //通过正则匹配判断是否通过
                    if (source.matches(remoteAddress)) {
                        return true;
                    }
                }
            }

            return false;
        }

        public Object getConfig() {
            return config;
        }

        public String toString() {
            return String.format("RemoteAddrs: %s", config.getSources());
        }
    };
}

## RemoteAddressResolverdefault InetSocketAddress resolve(ServerWebExchange exchange) {
	//获取直接连接网关的IP地址,如果通nginx转发到网关的,那么这里获取到的是nginx的IP地址。
    return exchange.getRequest().getRemoteAddress();
}

yml配置:

在这里插入图片描述

如果我们在yml的断言配置如下图,那么他将匹配不成功

在这里插入图片描述

2、XForwardedRemoteAddr断言

2.1 源码解析

## XForwardedRemoteAddrRoutePredicateFactorypublic Predicate<ServerWebExchange> apply(XForwardedRemoteAddrRoutePredicateFactory.Config config) {
    if (log.isDebugEnabled()) {
        log.debug("Applying XForwardedRemoteAddr route predicate with maxTrustedIndex of " + config.getMaxTrustedIndex() + " for " + config.getSources().size() + " source(s)");
    }

    org.springframework.cloud.gateway.handler.predicate.RemoteAddrRoutePredicateFactory.Config wrappedConfig = new org.springframework.cloud.gateway.handler.predicate.RemoteAddrRoutePredicateFactory.Config();
    /**
     * 获取yml配置的IP地址信息,将从获取yml配置的IP地址信息传递
     * 给RemoteAddrRoutePredicateFactory,如下图获取的到地址是192.168.21.21
     */
    wrappedConfig.setSources(config.getSources());
    /**
     * config.getMaxTrustedIndex() 默认值为 1
     * XForwardedRemoteAddressResolver重新了resolve这个方法,用来获取请求头中X-Forwarded-For的值
     */
    wrappedConfig.setRemoteAddressResolver(XForwardedRemoteAddressResolver.maxTrustedIndex(config.getMaxTrustedIndex()));
    //说明RemoteAddrRoutePredicateFactory底层还是用RemoteAddr断言的规则
    RemoteAddrRoutePredicateFactory remoteAddrRoutePredicateFactory = new RemoteAddrRoutePredicateFactory();
    //将封装好的config传递给RemoteAddrRoutePredicateFactory
    Predicate<ServerWebExchange> wrappedPredicate = remoteAddrRoutePredicateFactory.apply(wrappedConfig);
    return (exchange) -> {
        Boolean isAllowed = wrappedPredicate.test(exchange);
        if (log.isDebugEnabled()) {
            ServerHttpRequest request = exchange.getRequest();
            log.debug("Request for \"" + request.getURI() + "\" from client \"" + request.getRemoteAddress().getAddress().getHostAddress() + "\" with \"" + "X-Forwarded-For" + "\" header value of \"" + request.getHeaders().get("X-Forwarded-For") + "\" is " + (isAllowed ? "ALLOWED" : "NOT ALLOWED"));
        }

        return isAllowed;
    };
}

## RemoteAddrRoutePredicateFactorypublic Predicate<ServerWebExchange> apply(RemoteAddrRoutePredicateFactory.Config config) {
	//获取传递过来的IP地址,如下图获取的到地址是192.168.21.21
    final List<IpSubnetFilterRule> sources = this.convert(config.sources);
    return new GatewayPredicate() {
        public boolean test(ServerWebExchange exchange) {
        	//获取请求的地址(执行的代码就是下面那一个方法) 如下图获取到的是192.168.21.22
            InetSocketAddress remoteAddress = config.remoteAddressResolver.resolve(exchange);
            if (remoteAddress != null && remoteAddress.getAddress() != null) {
                String hostAddress = remoteAddress.getAddress().getHostAddress();
                String host = exchange.getRequest().getURI().getHost();
                if (RemoteAddrRoutePredicateFactory.log.isDebugEnabled() && !hostAddress.equals(host)) {
                    RemoteAddrRoutePredicateFactory.log.debug("Remote addresses didn't match " + hostAddress + " != " + host);
                }

                Iterator var5 = sources.iterator();

                while(var5.hasNext()) {
                    IpSubnetFilterRule source = (IpSubnetFilterRule)var5.next();
                    //通过正则匹配判断是否通过
                    if (source.matches(remoteAddress)) {
                        return true;
                    }
                }
            }

            return false;
        }
		...
    };
}

## XForwardedRemoteAddressResolverpublic InetSocketAddress resolve(ServerWebExchange exchange) {
	//获取请求头中X-Forwarded-For的值
    List<String> xForwardedValues = this.extractXForwardedValues(exchange);
    Collections.reverse(xForwardedValues);
    if (!xForwardedValues.isEmpty()) {
    	//获取指定位置的IP,
        int index = Math.min(xForwardedValues.size(), this.maxTrustedIndex) - 1;
        return new InetSocketAddress((String)xForwardedValues.get(index), 0);
    } else {
        return this.defaultRemoteIpResolver.resolve(exchange);
    }
}

## XForwardedRemoteAddressResolverprivate List<String> extractXForwardedValues(ServerWebExchange exchange) {
    List<String> xForwardedValues = exchange.getRequest().getHeaders().get("X-Forwarded-For");
    if (xForwardedValues != null && !xForwardedValues.isEmpty()) {
    	//如果X-Forwarded-For的值多个直接丢弃
        if (xForwardedValues.size() > 1) {
            log.warn("Multiple X-Forwarded-For headers found, discarding all");
            return Collections.emptyList();
        } else {
            List<String> values = Arrays.asList(((String)xForwardedValues.get(0)).split(", "));
            return values.size() == 1 && !StringUtils.hasText((String)values.get(0)) ? Collections.emptyList() : values;
        }
    } else {
        return Collections.emptyList();
    }
}

config.getMaxTrustedIndex()的默认值为1,所以请求头X-Forwarded-For值的最后一个值,如下图,获取的值为192.168.21.22。
在这里插入图片描述
如果我们在yml的断言配置如下图,那么他将匹配不成功。
在这里插入图片描述

XForwardedRemoteAddressResolver有两个静态构造函数方法,它们采用不同的安全方法:

  • XForwardedRemoteAddressResolver::trustAllRemoteAddressResolver返回始终采用标头中找到的第一个 IP 地址的a X-Forwarded-For。这种方法容易受到欺骗,因为恶意客户端可以为 设置一个初始值X-Forwarded-For,解析器会接受该值。

  • XForwardedRemoteAddressResolver::maxTrustedIndex采用与在 Spring Cloud Gateway 前面运行的可信基础设施数量相关的索引。例如,如果 Spring Cloud Gateway 只能通过 HAProxy 访问,则应使用值 1。如果在访问 Spring Cloud Gateway 之前需要两跳可信基础设施,则应使用值 2。

maxTrustedIndex值怎么设置没还有解决

头未秃
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
分析python服务器拒绝服务攻击代码
12-24
复制代码 代码如下:# -*- coding: cp936 -*-...class Loop(Thread): def __init__(self,remoteAddr): Thread.__init__(self) self.remoteAddr = remoteAddr  def run(self): ip = str(randint(0,255))+’.’\ 
Spring Cloud Gateway路由断言实战——Query路由断言工厂
实践求真知
11-30 1299
源码位置 https://github.com/cakin24/spring-cloud-code/tree/master/ch17-2/ch17-2-8-gateway 二关键代码 package cn.springcloud.book.gateway; import org.springframework.boot.SpringApplication; import org....
Gateway - Path、Query、RemoteAddr路由断言工厂
The Secret
06-09 687
本文解析Gateway的Path、Query、RemoteAddr路由断言工厂。
nginx $remote_addr 详解
weixin_33682790的博客
07-17 4126
nginx的自带变量 $remote_addr 代表客户端的IPremote_addr代表客户端的IP,但它的值不是由客户端提供的,而是服务端根据客户端的ip指定的,当你的浏览器访问某个网站时,假设中间没有任何代理,那么网站的web服务器(Nginx,Apache等)就会把remote_addr设为你的机器IP,如果你用了某个代理,那么你的浏览器会先访问这个代理,然后再由这个...
获取用户IP地址的三个属性的区别(HTTP_X_FORWARDED_FOR,HTTP_VIA,REMOTE_ADDR)
zymaxs的专栏
08-12 959
本文转载于网络,内容没有进过本人认证~~一、没有使用代理服务器的情况: REMOTE_ADDR = 您的 IP HTTP_VIA = 没数值或不显示 HTTP_X_FORWARDED_FOR = 没数值或不显示二、使用透明代理服务器的情况:Transparent Proxies REMOTE_ADD
php 获取 remote addr,php REMOTE_ADDR之获取访客IP的代码
weixin_30433715的博客
03-19 778
$iipp=$_SERVER["REMOTE_ADDR"];echo$iipp;?>[/code][code]
gin-gonic-realip:Gin的Real IP中间件将http.Request的RemoteAddr设置为解析X-Forwarded-For标头或X-Real-IP标头的结果
05-16
的Real IP中间件,将http.Request的RemoteAddr设置为解析X-Forwarded-For标头或X-Real-IP标头的结果。 用法 package main import ( "github.com/gin-gonic/gin" "github.com/thanhhh/gin-gonic-realip" ) func ...
PHP通过$_SERVER['REMOTE_ADDR']得到的是内网IP?如何才能获得客户的公网IP(真实IP地址).zip
01-10
PHP通过$_SERVER['REMOTE_ADDR']得到的是内网IP?如何才能获得客户的公网IP(真实IP地址).zip
dnet:tcp,websocket库
04-09
dnet一个简单的tcp , websocket的封装会议type Session interface {// connectionNetConn() interface{}// RemoteAddr returns the remote network address.RemoteAddr() ...
Mojolicious-Plugin-BindSessionToIP:将您的 Mojolicious 会话绑定到 IP 地址以提高应用程序的安全性
07-14
$self->plugin('RemoteAddr'); # For getting remote ip address $self->plugin('BindSessionToIP'); # Mojolicious::Lite plugin 'RemoteAddr'; plugin 'BindSessionToIP'; 描述 将您的 Mojolicious 会话绑定到 IP ...
HTTP 请求头中的 Remote_Addr,X-Forwarded-For,X-Real-IP | Spring Cloud 13
热门推荐
gmHappy
03-08 1万+
X-Real-IP是一个自定义`Header`。`X-Real-Ip` 通常被 `HTTP` 代理用来表示与它产生 `TCP` 连接的设备 `IP`,这个设备可能是其他代理,也可能是真正的请求端。需要注意的是,`X-Real-Ip` 目前并不属于任何标准,代理和 `Web` 应用之间可以约定用任何自定义头来传递这个信息。 X-Forwarded-For(`XFF`)是用来**识别**通过**HTTP代理**或**负载均衡**方式连接到`Web`服务器的客户端**最原始的`IP`地址的`HTTP`请求字段。
remote_addr和x_forwarded_for
weixin_30570101的博客
06-16 102
做网站时经常会用到remote_addr和x_forwarded_for这两个头信息来获取客户端的IP,然而当有反向代理或者CDN的情况下,这两个值就不够准确了,需要调整一些配置。 什么是remote_addr remote_addr代表客户端的IP,但它的值不是由客户端提供的,而是服务端根据客户端的ip指定的,当你的浏览器访问某个网站时,假设中间没有任何代理,那么网站的web服务器(Ngin...
【转】REMOTE_ADDR,HTTP_CLIENT_IP,HTTP_X_FORWARDED_FOR
玲珑巫女的学习笔记
06-18 1264
转载自:http://www.cnblogs.com/lmule/archive/2010/10/15/1852020.html 看ecshop的lib_base.php的时候里面获取客户端真实ip的函数(real_ip),有许多情况的判断,主要判断客户端是否使用代理的情况,注意判断顺序,先判断客户端是否使用代理HTTP_X_FORWARDED_FOR 还是把源码附上吧 <?ph
【Nginx】Nginx $remote_addr和$proxy_add_x_forwarded_for变量详解
姜太小白的博客
08-31 2349
Nginx $remote_addr和$proxy_add_x_forwarded_for变量详解
Gateway网关-路由断言工厂
Leon_Jinhai_Sun的博客
11-07 277
断言工厂 我们在配置文件中写的断言规则只是字符串,这些字符串会被Predicate Factory读取并处理,转变为路由判断的条件 例如Path=/user/**是按照路径匹配,这个规则是由 org.springframework.cloud.gateway.handler.predicate.PathRoutePredicateFactory类来 处理的,像这样的断言工厂在SpringCloudGateway还有十几个: 名称 说明 示例 After 是某个时间点后的请求
nginx remote_address控制访问地址
云深海阔专栏
11-06 7348
nginx对应server段配置内容如下: server { listen 80; server_name admin.shanhua.test localhost; error_page 404 /404.html; location /404.html { allow all; root html; } locat...
nginx 真实IP Remote-Addr X-Forwarded-For X-Real-IP
飞翔码农的博客
12-17 6085
工作总做负载均衡的时候回经常用到。在这里记录下。 普及下各个机器的名称 发送请求方的机器 名称叫客户端。 请求转发和反向代理的机器叫负载均衡或者LB 最终逻辑处理的机器叫WEB机器。【码农写的逻辑基本上都在WEB机器上】 先说下我们的测试的机器IP分布。 客户端IP 100.100.100.1 负载均衡LB 100.100.100.2 web机器 100.100.1...
PHP获得真实客户端的真实IP REMOTE_ADDR,HTTP_CLIENT_IP,HTTP_X_FORWARDED_FOR
hnxuwei的博客
01-31 1065
REMOTE_ADDR 是你的客户端跟你的服务器“握手”时候的IP。如果使用了“匿名代理”,REMOTE_ADDR将显示代理服务器的IP。 HTTP_CLIENT_IP 是代理服务器发送的HTTP头。如果是“超级匿名代理”,则返回none值。同样,REMOTE_ADDR也会被替换为这个代理服务器的IP。$_SERVER['REMOTE_ADDR']; //访问端(有可能是用户,有可能是代理的)IP
Spring Cloud Gateway
weixin_46610797的博客
02-07 406
Spring Cloud Gateway1、基本概念2、工作原理图3、配置网关的断言集和过滤集3.1 快捷方式配置3.2 完全展开的参数4、predicates factories4.1 After4.2 Before4.3 Between4.4 Cookie4.5 Header4.6 Host4.7 Method4.8 Path4.9 Query4.10 RemoteAddr4.11 Weight4.11.1 修改远程路径解析方式5、GatewayFilter Factories5.1 AddRequ
gateway配置百名单
最新发布
10-20
SpringCloud Gateway网关中,可以通过配置白名单来限制访问的IP地址。可以使用YML配置文件来配置白名单。其中,需要使用RemoteAddr路由谓词工厂来实现IP地址的限制。在配置文件中,需要指定一个ID和URI,以及一个RemoteAddr谓词,该谓词需要指定一个CIDR-notation格式的IP地址或IP地址段。例如,以下配置文件将限制IP地址为192.168.1.1/24的客户端访问: ``` spring: cloud: gateway: routes: - id: remoteaddr_route uri: https://example.org predicates: - RemoteAddr=192.168.1.1/24 ``` 这样配置后,只有IP地址为192.168.1.1/24的客户端才能访问该网关。如果有其他IP地址的客户端尝试访问该网关,则会被拒绝访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值