登录访问时获取IP并校验(Springsecurity )

最新推荐文章于 2024-03-22 12:37:23 发布
最新推荐文章于 2024-03-22 12:37:23 发布
阅读量2.1k 收藏 6
点赞数
分类专栏: springsecurity 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014295903/article/details/118329585
版权

登录访问时获取IP并校验(Springsecurity )

一、简述

因公司要求,针对项目进行ip限制,以往只是记录登录ip。所以此功能相对简单。

二、获取IP

获取IP有两种方式:1、自定义ip工具类。2、security获取。

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.net.URL;
import java.net.URLConnection;

import javax.servlet.http.HttpServletRequest;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONException;
import com.alibaba.fastjson.JSONObject;

public class IPUtils {

	private static final String UNKNOWN = "unknown";

	protected IPUtils() {

	}

	/**
	 * 获取IP地址 使用 Nginx等反向代理软件, 则不能通过request.getRemoteAddr()获取IP地址
	 * 如果使用了多级反向代理的话,X-Forwarded-For的值并不止一个,而是一串IP地址,X-Forwarded-For中第一个非
	 * unknown的有效IP字符串,则为真实IP地址
	 */
	public static String getClientIpAddr(HttpServletRequest request) {
		String ip = request.getHeader("x-forwarded-for");

		if (ip != null && ip.length() != 0 && !"unknown".equalsIgnoreCase(ip)) {
			// 多次反向代理后会有多个ip值,第一个ip才是真实ip
			if (ip.indexOf(",") != -1) {
				ip = ip.split(",")[0];
			}
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("Proxy-Client-IP");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("WL-Proxy-Client-IP");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("HTTP_CLIENT_IP");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("HTTP_X_FORWARDED_FOR");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getHeader("X-Real-IP");
		}
		if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
			ip = request.getRemoteAddr();
		}
		// log.info("获取客户端ip: " + ip);
		return "0:0:0:0:0:0:0:1".equals(ip) ? "127.0.0.1" : ip;
	}
	/**
	 * 判断是否为内网
	 * @param ipAddress
	 * @return
	 */
	public static boolean isInnerIP(String ipAddress) {
		boolean isInnerIp = false;
		if (ipAddress.indexOf(",") != -1) {
			ipAddress = ipAddress.split(",")[0];
		}
		ipAddress = ipAddress.replaceAll(",", ".").replaceAll(" ", "");
		long ipNum = getIpNum(ipAddress);
		/**
		 * 私有IP:
		 * A类 10.0.0.0-10.255.255.255 
		 * B类  172.16.0.0-172.31.255.255 
		 * C类 192.168.0.0-192.168.255.255
			当然,还有127这个网段是环回地址
		 **/
		long aBegin = getIpNum("10.0.0.0");
		long aEnd = getIpNum("10.255.255.255");
		long bBegin = getIpNum("172.16.0.0");
		long bEnd = getIpNum("172.31.255.255");
		long cBegin = getIpNum("192.168.0.0");
		long cEnd = getIpNum("192.168.255.255");
		isInnerIp = isInner(ipNum, aBegin, aEnd) || isInner(ipNum, bBegin, bEnd) || isInner(ipNum, cBegin, cEnd)
				|| ipAddress.equals("127.0.0.1");
		return isInnerIp;
	}

	private static long getIpNum(String ipAddress) {
		String[] ip = ipAddress.split("\\.");
		long a = Integer.parseInt(ip[0]);
		long b = Integer.parseInt(ip[1]);
		long c = Integer.parseInt(ip[2]);
		long d = Integer.parseInt(ip[3]);

		long ipNum = a * 256 * 256 * 256 + b * 256 * 256 + c * 256 + d;
		return ipNum;
	}

	private static boolean isInner(long userIp, long begin, long end) {
		return (userIp >= begin) && (userIp <= end);
	}
	/**
	 * 此方法调用百度AIP来查询IP所在地域(YYR)
	 * @param strIP(传入的IP地址)
	 * @return
	 */
	public static String getAddressByIP(String strIP) {
        try {
            URL url = new URL("http://api.map.baidu.com/location/ip?ak=F454f8a5efe5e577997931cc01de3974&ip="+strIP);
            URLConnection conn = url.openConnection();
            BufferedReader reader = new BufferedReader(new InputStreamReader(conn.getInputStream(), "utf-8"));
            String line = null;
            StringBuffer result = new StringBuffer();
            while ((line = reader.readLine()) != null) {
                result.append(line);
            }
            reader.close();
            String ipAddr = result.toString();
            try {
                JSONObject obj1= JSON.parseObject(ipAddr);
                if("0".equals(obj1.get("status").toString())){
                    JSONObject obj2= JSON.parseObject(obj1.get("content").toString());
                    JSONObject obj3= JSON.parseObject(obj2.get("address_detail").toString());
                    return obj3.get("province").toString()+obj3.get("city").toString();
                }else{
                    return "读取失败";
                }
            } catch (JSONException e) {
                e.printStackTrace();
                return "读取失败";
            }

        } catch (IOException e) {
            return "读取失败";
        }
    }
	
    public static String getAddress(String ip) {
    	String loginAddress = null;
    	try {
    		if (ip.indexOf(",") != -1) {
            	ip = ip.split(",")[0];
    		}
            
            if("127.0.0.1".equals(ip) || isInnerIP(ip)) {
    				loginAddress = "局域网";
            }else{
            	loginAddress = getAddressByIP(ip);
                if("读取失败".equals(loginAddress)) {
                	loginAddress = null;
                }
            }
            return loginAddress;
		} catch (Exception e) {
			return null;
		}
        
	}
}

在自定义的登录部分MyAuthenticationProvider 直接使用以下代码即可。

 WebAuthenticationDetails details = (WebAuthenticationDetails) authentication.getDetails();
 String userIp = details.getRemoteAddress();

三、过滤IP

可以直接在Security的配置类中直接限制,指定ip时使用X.X.X.X ,若是ip段可是采用X.X.X.X/Y

//多个
http.authorizeRequests() 
     .antMatchers("/api/**", "/info") 
     .access("hasIpAddress('X.X.X.X') or hasIpAddress('Y.Y.Y.Y')") 
//单个
http.authorizeRequests()
   .antMatchers("/api/**", "/info").hasIpAddress("127.0.0.0/16")

自定义校验时,对访问ip的限制可以配置ip段,

public static boolean isInRange(String ip, String cidr) {
		String[] ips = ip.split("\\.");

		int ipAddr = (Integer.parseInt(ips[0]) << 24) | (Integer.parseInt(ips[1]) << 16) | (Integer.parseInt(ips[2]) << 8) | Integer.parseInt(ips[3]);
		int type = Integer.parseInt(cidr.replaceAll(".*/", ""));
		int mask = 0xFFFFFFFF << (32 - type);

		String cidrIp = cidr.replaceAll("/.*", "");
		String[] cidrIps = cidrIp.split("\\.");

		int cidrIpAddr = (Integer.parseInt(cidrIps[0]) << 24) | (Integer.parseInt(cidrIps[1]) << 16) | (Integer.parseInt(cidrIps[2]) << 8) | Integer.parseInt(cidrIps[3]);

		return (ipAddr & mask) == (cidrIpAddr & mask);
	}

在数据库或其他地方保存指定的多个ip,使用lamda或者for处理。

List<String> list = new ArrayList<String>();
list.add("127.0.0.1");
list.add("127.0.0.2");
list.add("127.0.0.4");

String ip = "127.0.0.6";
boolean bString =  list.stream().anyMatch(p -> p.equals(ip));

也可以针对用指定固定ip,查询用户数据直接比较即可。

herozhi0821
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity实现表单安全登录、图形验证的校验、记住我长控制机制、第三方登录
01-30
SpringSecurity实现表单安全登录、图形验证的校验、记住我长控制机制、第三方登录
java实现免费代理IP获取方式 并实校验代理IP是否有效
09-30
Java 实现免费代理IP获取方式 并动态实校验是否有效,java文件项目内含有Jsoup的Jar包(Jsoup是加工过的,含请求),有2个主入口程序: 其一:用于请求代理IP,并立即校验是否是一个有效的代理IP,如果有效,保存到相应的文件中。。。 其二:对已下载到本地的代理IP进行再筛选,对失效的代理IP进行处理,对任然有效的ip进行保存 结语:如果对你有帮助,请为我评论点赞
Spring Security 中如何快速查看登录用户 IP 地址等信息?
最新发布
m0_61331237的博客
03-22 794
什么是ActiveMQ?ActiveMQ服务器宕机怎么办?丢消息怎么办?持久化消息非常慢怎么办?消息的不均匀消费怎么办?死信队列怎么办?ActiveMQ中的消息重发间间隔和重发次数吗?
Spring Security验证流程剖析及自定义验证方法
08-27
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。这篇文章主要介绍了Spring Security验证流程剖析及自定义验证方法,需要的朋友可以参考下
Spring Security 中如何快速查看登录 IP地址等信息?一招搞定
QQ2352108083的博客
05-07 766
之前跟大家聊了如何使用更加优雅的方式自定义 Spring Security 登录逻辑,更加优雅的方式可以有效避免掉自定义过滤器带来的低效,建议大家一定阅读一下,也可以顺便理解 Spring Security 中的认证逻辑。 不废话了,我们来看今天的文章。 1.Authentication Authentication 这个接口前面和大家聊过多次,今天还要再来聊一聊。另外大家要注意:突破高薪J...
Spring Security动手实现一个IP_Login-(四)
m0_37834471的博客
07-21 837
在开始这篇文章之前,我们似乎应该思考下为什么需要搞清楚Spring Security的内部工作原理?按照第二篇文章中的配置,一个简单的表单认证不就达成了吗?更有甚者,为什么我们不自己写一个表单认证,用过滤器即可完成,大费周章引入Spring Security,看起来也并没有方便多少。对的,在引入Spring Security之前,我们得首先想到,是什么需求让我们引入了Spring Security...
Spring Security---自定义获取用户IP
MAKEJAVAMAN的博客
10-28 1220
之前在Spring Security流程的文章里提到过setDetails方法,也就是在WebAuthenticationDetails记录了IP和sessionId。 public WebAuthenticationDetails(HttpServletRequest request) { this.remoteAddress = request.getRemoteAddr(); HttpSession session = request.getSession(false); this.
Spring Security添加IP限制功能
MINWH的专栏
05-08 7213
项目中要为SpringSecurity添加IP限制功能,一开始的做法是继承DaoAuthenticationProvider,在additionalAuthenticationChecks方法中使用WebAuthenticationDetails的getRemoteAddress获取客户端IP,然后判断是否需要限制登录。在tomcat上单独部署,这样做一切正常,当使用apache作为前端代理
Spring Security 中的四种权限控制方式
热门推荐
江南一点雨的专栏
06-17 5万+
Spring Security 中对于权限控制默认已经提供了很多了,但是,一个优秀的框架必须具备良好的扩展性,恰好,Spring Security 的扩展性就非常棒,我们既可以使用 Spring Security 提供的方式做授权,也可以自定义授权逻辑。一句话,你想怎么玩都可以! 今天松哥来和大家介绍一下 Spring Security 中四种常见的权限控制方式。 表达式控制 URL 路径权限 表达式控制方法权限 使用过滤注解 动态权限 四种方式,我们分别来看。 本文是 Spring Security
【深入浅出Spring原理及实战】「开发实战系列」SpringSecurity原理以及实战认证分析开发指南
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
12-23 1150
承接上一篇文章,相信大家应该已经对SpringSecurity的原理有了一定的认识,而本篇文章给大家带来的则是在实际业务开发中的技术指南,希望对你有所帮助。所谓知彼知己方能百战百胜,用Spring Security来满足我们的需求最好了解其原理,这样才能随意拓展。
关于ip的过滤器 spring security例子
09-23
例子讲解可以参看博客:blog.csdn.net/dsundsun
自定义Spring Security的身份验证失败处理方法
08-25
在本篇文章里小编给大家整理了一篇关于自定义Spring Security的身份验证失败的处理方法,有需要的朋友们学习下。
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
SpringSecurity授权(访问控制)
wyy的博客
10-30 5374
一、 访问控制url匹配 在前面讲解了认证中所有常用配置,主要是对httpSecurity.formLogin()进行操作。而在配置类中httphttpSecurity.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。httpSecurity.authorizeRequests()也支持连缀写法,可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security中的授权。 在所有匹配规则中取所有规则的交集。配置顺序影响了之
Spring Security登录流程
记录,记录,记录
02-12 543
1、Authentication 存放用户信息类的顶层接口为Authentication,我们从这个类往下找,发现常用的实现类有UsernamePasswordAuthenticationToken。 我们对与之关联的5个类进行观察: Authentication AbstractAuthenticationToken UsernamePasswordAuthenticationToken GrantedAuthority SimpleGrantedAuthority 我们可以发现,
详解Spring Security获取当前登录用户的详细信息的几种方法
qq_65142821的博客
01-30 878
下面就来详细讲解一下Spring Security获取当前登录用户的详细信息的几种方法。
spring security3.x学习(22)_关于ip的过滤器
杜雷的技术博客
09-23 1849
看到电子书的第六章了,我粗略的看了一下,发现第六章的知识很乱,需要前期的基础知识要很好才可以看懂, 所以从这次开始,我自己开始动手写一些例子进行练习(其实基础知识基本上已经学完了,剩下的都是高级配置了) 我先写好了一个模板。以后我们学习就可以根据这个模板进行修改了。(spring mvc + spring security) 下载地址:http://download.csdn
SpringSecurity系列——访问权限判断(权限,角色,IP),权限不足(403)处理day6-1(源于官网5.7.2版本)
qq_51553982的博客
07-26 1035
为了你对本文的内容不产生疑惑请先看下方说明当我们无权限SpringSecurity会给我们返回403的空白页面,实际上对用户是不友好的,用户不关心处理结果,只关心自己能否访问,所以自定义权限不足的候的处理显得十分重要,在前后端分离的今天,其实我们只需要返回给前端json数据即可data.put("msg","用户权限不足!");}}...
springsecurity登录接口跳过校验
05-17
Spring Security中,登录接口的校验是非常重要的一环,它可以保证用户的身份安全。但是,有候我们可能需要临跳过登录接口的校验,比如在开发过程中进行调试或者测试等。 要跳过Spring Security登录校验,可以使用以下两种方式: 1. 使用Spring Security的匿名访问配置 可以在Spring Security的配置中添加以下代码: ``` http.authorizeRequests() .antMatchers("/login").anonymous() .anyRequest().authenticated(); ``` 这样配置后,访问“/login”接口将不再进行登录校验,而其他接口仍然需要进行校验。 2. 自定义拦截器 如果需要更细粒度的控制,可以自定义一个拦截器,对需要跳过校验的接口进行处理。可以在拦截器中判断请求的URL是否需要跳过校验,如果需要,则直接放行。 示例代码如下: ``` public class CustomInterceptor extends HandlerInterceptorAdapter { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String url = request.getRequestURI(); if(url.equals("/login")){ return true; } return super.preHandle(request, response, handler); } } ``` 然后在Spring MVC的配置中添加以下代码: ``` <mvc:interceptors> <bean class="com.example.CustomInterceptor"/> </mvc:interceptors> ``` 这样配置后,访问“/login”接口将不再进行登录校验,而其他接口仍然需要进行校验

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值