SpringBoot(SpringMVC)拦截Druid数据监控页面

已于 2022-10-01 11:19:00 修改
阅读量2.8k 收藏 3
点赞数 2
分类专栏: 踩坑 小demo 文章标签: java spring
于 2022-04-26 09:52:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xufulin2/article/details/124419442
版权

目标

不暴露Druid内置的servlet到公网(防止被爆破、防止Druid出现 0 Day漏洞后被直接波及)。拦截请求,使用自定义鉴权机制,再放行请求。

版本信息

  • Java 17
  • SpringBoot 2.7.3
  • druid-spring-boot-starter 1.2.12
  • Apache Tika 2.4.1

application.yml

spring:
    thymeleaf:
        cache: false
    datasource:
        username: xfl
        password: amazingxfl666
        url: jdbc:mysql://localhost:3306/xfl_mybigdata?useUnicode=true&characterEncoding=utf8&characterSetResults=utf8&serverTimezone=Asia/Shanghai&nullCatalogMeansCurrent=true
        driver-class-name: com.mysql.cj.jdbc.Driver
        type: com.alibaba.druid.pool.DruidDataSource
        # druid 其它配置
        druid:
            initialSize: 5
            minIdle: 5
            maxActive: 60
            maxWait: 120000
            defaultAutoCommit: true
            poolPreparedStatements: true
            maxPoolPreparedStatementPerConnectionSize: 50
            aop-patterns: cc.xfl12345.mybigdata.server.*
            use-global-data-source-stat: true
            connectionProperties: druid.stat.mergeSql=true;druid.stat.slowSqlMillis=5000;
            filters: config,stat,slf4j,wall # wall用于防火墙
            filter:
                wall:
                    config:
                        alter-table-allow: true
                        # 允许一次执行多条语句
                        multi-statement-allow: true
                        # 允许非基本语句的其他语句
                        none-base-statement-allow: true
            # 是否允许重置数据 (已设计成必填。安全相关,必须设置)
            stat-view-servlet:
                reset-enable: false
            #是否启用StatFilter默认值false,用于采集 web-jdbc 关联监控的数据。
            web-stat-filter:
                enabled: true
                #排除一些静态资源,以提高效率
                exclusions: "*.js,*.gif,*.jpg,*.png,*.css,*.ico,/druid/*"
                #需要监控的 url
                url-pattern: "/*"
                session-stat-enable: true       # 开启session统计功能
                session-stat-max-count: 1000    # session的最大个数,默认100
    sql:
        init:
            encoding: UTF-8
    jackson:
        date-format: yyyy-MM-dd HH:mm:ss.SSS
        property-naming-strategy: LOWER_CAMEL_CASE
        time-zone: GMT+8
        default-property-inclusion: non_null
    servlet:
        multipart:
            max-file-size: -1
    mvc:
        converters:
            preferred-json-mapper: jackson
        view:
            prefix: /WEB-INF/views/
            suffix: .jsp
        contentnegotiation:
            favor-parameter: true
    data:
        rest:
            default-media-type: application/json


server:
    port: 8880
    tomcat:
        accesslog:
            enabled: true
            encoding: UTF-8
            ipv6-canonical: true
        remoteip:
            protocol-header: X-Forwarded-Proto
        use-relative-redirects: true
    servlet:
        encoding:
            enabled: true
            charset: UTF-8
            force-response: true
    forward-headers-strategy: native
    http2:
        enabled: true

debug: true

SpringBoot 配置 SpringMVC

package cc.xfl12345.mybigdata.server.mysql.spring.boot.conf;

import cc.xfl12345.mybigdata.server.mysql.spring.web.controller.DruidStatController;
import cc.xfl12345.mybigdata.server.mysql.spring.web.interceptor.DruidStatInterceptor;
import lombok.Getter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.ComponentScan;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
@ComponentScan(basePackageClasses = DruidStatController.class)
public class DruidSpringMvcConfig implements WebMvcConfigurer {
    @Getter
    protected DruidStatInterceptor druidStatInterceptor;

    @Autowired
    public void setDruidStatInterceptor(DruidStatInterceptor druidStatInterceptor) {
        this.druidStatInterceptor = druidStatInterceptor;
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 注册 Druid 的路由拦截器
        registry.addInterceptor(druidStatInterceptor).addPathPatterns(
            String.format("/%s/**", DruidStatController.servletName)
        );
    }
}

DruidStatInterceptor.java

package cc.xfl12345.mybigdata.server.mysql.spring.web.interceptor;

import lombok.extern.slf4j.Slf4j;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;


/**
 * 拦截 Druid 监视器请求。限制访问。
 */
@Slf4j
public class DruidStatInterceptor implements HandlerInterceptor {

    /**
     * 拦截请求
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
        throws Exception {
//        System.out.println("拦截请求");
        return true;
    }

    /**
     * 拦截响应
     */
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
                           ModelAndView modelAndView) throws Exception {
//        System.out.println("拦截响应");
    }

    /**
     * 拦截渲染
     */
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
        throws Exception {
//        System.out.println("拦截渲染");
    }
}

DruidStatController.java

package cc.xfl12345.mybigdata.server.mysql.spring.web.controller;

import com.alibaba.druid.stat.DruidStatService;
import lombok.extern.slf4j.Slf4j;
import org.apache.tika.Tika;
import org.springframework.beans.factory.InitializingBean;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.core.io.ClassPathResource;
import org.springframework.core.io.Resource;
import org.springframework.core.io.support.PathMatchingResourcePatternResolver;
import org.springframework.http.HttpMethod;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.InputStream;
import java.io.OutputStream;
import java.io.Writer;
import java.net.URL;
import java.nio.charset.StandardCharsets;
import java.util.Objects;
import java.util.concurrent.ConcurrentHashMap;

@RestController
@Slf4j
@RequestMapping(DruidStatController.servletName)
public class DruidStatController implements InitializingBean {

    protected DruidStatService statService = DruidStatService.getInstance();
    public static final String servletName = "druid";
    public static final String servletPathCache1 = "/" + servletName;

    // 为安全考虑,强制必须设置 reset-enable 的值
    @Value("${spring.datasource.druid.stat-view-servlet.reset-enable}")
    public void setResetEnable(boolean resetEnable) {
        statService.setResetEnable(resetEnable);
    }

    public boolean isResetEnable() {
        return statService.isResetEnable();
    }

    protected String resourceRootPath = "support/http/resources/";
    protected URL rootFileURL;
    protected String rootFileUrlString;
    protected ConcurrentHashMap<String, ResourceDetail> druidFrontendFiles = new ConcurrentHashMap<>();

    public static class ResourceDetail {
        public Resource resource;
        public String mimeType;
        public String path;
    }

    @Override
    public void afterPropertiesSet() throws Exception {
        Tika tika = new Tika();
        ClassLoader classLoader = Thread.currentThread().getContextClassLoader();
        rootFileURL = Objects.requireNonNull(classLoader.getResource(resourceRootPath));
        rootFileUrlString = rootFileURL.toString();
        // String rootFileClasspathBase = rootFileUrlString.substring(0, rootFileUrlString.lastIndexOf(resourceRootPath));

        Resource[] resources = new PathMatchingResourcePatternResolver().getResources(resourceRootPath + "**");
        for (Resource resource : resources) {
            URL currentFileURL = resource.getURL();
            String relativePath;
            if (resource instanceof ClassPathResource classPathResource) {
                relativePath = '/' + classPathResource.getPath();
            } else {
                relativePath = '/' + currentFileURL.toString().substring(rootFileUrlString.length());
            }
            relativePath = relativePath.substring(resourceRootPath.length());

            int lastIndexOfSplitChar = relativePath.lastIndexOf('/');
            // 如果是文件,而不是文件夹
            if (relativePath.length() - 1 > lastIndexOfSplitChar) {
                String filename = relativePath.substring(lastIndexOfSplitChar + 1);

                ResourceDetail detail = new ResourceDetail();
                detail.resource = resource;
                detail.path = relativePath;
                try (InputStream inputStream = resource.getInputStream()) {
                    detail.mimeType = tika.detect(inputStream, filename);
                }

                log.debug(relativePath + " <---> " + currentFileURL.toString());
                druidFrontendFiles.put(relativePath, detail);
            }

        }

    }

    @GetMapping(path = {"", "index"})
    public void redirectIndexPage(HttpServletResponse response) throws IOException {
        response.sendRedirect("./index.html");
    }

    @RequestMapping("/**")
    public void forward(HttpServletRequest request, HttpServletResponse response) throws IOException {
        String relativeURL = request.getServletPath().substring(servletPathCache1.length());

        ResourceDetail resourceDetail = druidFrontendFiles.get(relativeURL);
        // 如果命中了静态资源,则直接返回文件。
        if (resourceDetail != null) {
            response.setStatus(HttpServletResponse.SC_OK);
            response.setContentType(resourceDetail.mimeType);
            response.setCharacterEncoding(StandardCharsets.UTF_8.name());

            InputStream is = resourceDetail.resource.getInputStream();
            OutputStream os = response.getOutputStream();
            try (is; os) {
                // 8 KiB buffer
                byte[] buffer = new byte[((1 << 10) << 3)];
                int bytesRead;
                while ((bytesRead = is.read(buffer)) > 0) {
                    os.write(buffer, 0, bytesRead);
                }
            }
        } else {
            if (request.getMethod().equalsIgnoreCase(HttpMethod.GET.name())) {
                String httpGetQueryString = request.getQueryString();
                if (httpGetQueryString != null && !httpGetQueryString.isEmpty()) {
                    relativeURL += '?' + httpGetQueryString;
                }
            }

            response.setContentType("application/json;charset=UTF-8");
            try (Writer writer = response.getWriter()) {
                writer.write(statService.service(relativeURL));
            }
        }
    }
}

趟坑思路&历程

  1. 直接狂翻Druid官方说明文档,看看有没有SpringMVC拦截数据监控页面的方法(反正我是没有找到)
  2. 度娘一下,看看有没有别人做出来了。结果只找到这个https://blog.csdn.net/weixin_44216706/article/details/106189393 而且还是不知所云的那一类。(鲁迅曾说过,生命是以时间为单位的,浪费别人的时间等于谋财害命。所以,遇到这一类作者,该骂的还得骂!)
  3. 直接使用SpringMVC拦截器 拦截 Druid 内置的 Servlet (无效,因为 拦截器只对 Controller 起作用,通过 ServletRegistrationBean 注册的Servlet不归SpringMVC管。虽然不使用ServletRegistrationBean注册Servlet还有别的办法拦截请求,但太麻烦)
  4. 直接把Druid Jar包里的资源文件原地引用,作为SpringMVC的静态资源,动态资源拦截即可
  5. 直接把Druid Jar包里的资源文件复制出来放到 webapp 文件夹,作为SpringMVC的静态资源。直接指定classpath路径,当前Jar包内引用。然后动态资源拦截即可。(代价是浪费两倍空间,明明 Druid Jar包里就有。而且和官方同步比较麻烦)
  6. 直接使用 Servlet 的 forward 大法转发访问 Druid 内置的 Servlet ,并配置 Druid 只允许本机访问(依然只能本机访问,无法实现代理拦截效果,传到 SpringMVC 的 Controller 层 的 HttpServletRequest 是约定不允许修改的)
  7. 学习使用 SpringCloud里的网关代理 或者 学习使用各大佬实现的现成的 ProxyServlet 工具 转发访问 Druid 内置的 Servlet ,并配置 Druid 只允许本机访问(太复杂,而且session这些问题不好控制。学习成本高,遂放弃)

一开始折腾第四点没成功,因为不熟悉SpringMVC,不知道SpringMVC 的 Resource大法支持通过万能的URL/URI方式引用资源。所以绕了个大弯,还是抱着破罐子破摔万一可行的心态摸索了一下SpringMVC API源码,继续走第四点,看看能不能走得通。现在看来是真的可行。

分享成功的喜悦(发表试验成功的感言):OHHHHHHHHHHHHHHHHHHHHHHH!!!

2022年10月1日更新

发现原来的路子有 BUG,导致一些 API 不能被正常访问。
遂放弃原来的结构,使用 Controller 全面接管,实现了一个简单的 “半Servlet”
(这下应该没有问题了吧……逃)

xufulin2
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringMVC拦截Druid数据监控页面
weixin_44216706的博客
05-18 2146
今日写权限验证的时候,发现拦截器并不能拦截/druid/index druid版本:1.1.21 spring-mvc <mvc:view-controller path="/monitor" view-name="redirect:/druid/index"/> html <a th:href="@{~/druid/index}" class="text-dark">数据监控</a> 然后上网查了一下,如下 但是我用AOP注解,和AOP xml都试了一下,都
JavaWeb过滤器(Filter)详解,是时候该把过滤器彻底搞懂了(万字说明)
sebeefe的博客
07-29 610
过滤器,顾名思义就是对事物进行过滤的,在Web中的过滤器,当然就是对请求进行过滤,我们使用过滤器,就可以对请求进行拦截,然后做相应的处理,实现许多特殊功能。如登录控制,权限管理,过滤敏感词汇等.通过上面的学习,相信大家对Filter的掌握肯定也上了一个台阶,但是理论知识的掌握并不能代码大家已经真正学会了,打开编译器,开始练习吧,技术就就是靠一行行代码堆起来的!!!先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。httpshttpshttps。...
Springboot整合Druid,添加拦截器进行数据监控
weixin_40404189的博客
04-11 3699
1、在项目中添加Druid依赖,https://mvnrepository.com/, 在其中搜索“druid”,选择相应版本,复制Maven格式到项目的pom文件中; 2、添加与数据库相关的属性配置 spring: datasource: username: root password: 123456 url: jdbc:mysql://10.0.75.1:3306/...
Mybatis Druid日志拦截器
向着太阳奔跑
09-14 689
Mybatis Druid日志拦 截器。
spring boot关闭druid监控 druid2改配置文件无效
最新发布
weixin_43135225的博客
02-29 515
spring boot关闭druid监控 druid2改配置文件无效
Springboot SpringMVC thymeleaf页面提交Validation实现实例.pdf
06-23
Springboot SpringMVC thymeleaf页面提交Validation实现实例.pdfSpringboot SpringMVC thymeleaf页面提交Validation实现实例.pdfSpringboot SpringMVC thymeleaf页面提交Validation实现实例.pdfSpringboot SpringMVC thymeleaf页面提交Validation实现实例.pdfSpringboot SpringMVC thymeleaf页面提交Validation实现实例.pdfSpringboot SpringMVC thymeleaf页面提交Validation实现实例.pdfSpringboot SpringMVC thymeleaf页面提交Validation实现实例.pdfSpringboot SpringMVC thymeleaf页面提交Validation实现实例.pdf
springboot+springmvc实现登录拦截
08-25
主要介绍了springboot+springmvc实现登录拦截,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springboot springmvc mybatis整合
12-24
springboot springmvc mybatis整合
druid监控无法关闭(坑),及处理方式
小肥宅的博客
10-21 9860
更为详细的配置信息可以查看:https://github.com/brettwooldridge/HikariCP。以上方法试过均无效,然后再源码中看到了一些东西。
解决springboot项目无法关闭druid连接池监控功能
慧写代码
05-15 5593
解决springboot项目无法关闭druid连接池监控功能 仅仅注释掉ServletRegistrationBean这个Bean并不能关闭druid连接池监控,因为druid-spring-boot-starter这个starter默认开启了druid监控,自己写的配置类可以生效,自己不写配置类会用默认配置,所以要想完全关闭druid连接池监控, 第一:注释掉ServletRegistrationBean这个Bean; 第二:application.yml中加 spring: datasource:
自定义Druid拦截器
chuandie7960的博客
02-05 1383
Druid是一个JDBC组件,它包括三部分: DruidDriver 代理Driver,能够提供基于Filter-Chain模式的插件体系。 DruidDataSource 高效可管理的数据库连接池。 SQLParser Druid可以做什么? 1) 可以...
java代码方式屏蔽druid监控页面【yml修改不起作用的时候】
心猿意码的博客
06-12 387
想屏蔽druid监控页面,奈何yml怎么修改都不起作用,干脆用代码屏蔽。
十九、SpringBoot关掉druid监控
热门推荐
I want to know a little more.
12-29 1万+
spring.datasource.druid.filter.config.enabled=false spring.datasource.druid.web-stat-filter.enabled=false spring.datasource.druid.stat-view-servlet.enabled=false​  
SpringBoot+Mybatis+Druid+PageHelper实现多数据源并分页方法
08-26
本篇文章主要讲述的是SpringBoot整合Mybatis、Druid和PageHelper 并实现多数据源和分页,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot springmvc抛出全局异常的解决方法
08-30
主要为大家详细介绍了springboot springmvc抛出全局异常的解决方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
undertow容器下,druid广告拦截器不生效
StromNing的博客
09-11 1663
进入拦截器,chain.doFilter放行后,服务器将响应结果直接返回浏览器,导致执行response.resetBuffer()时,出现如下异常 2020-09-11 16:06:40 [XNIO-1 task-9] ERROR io.undertow.request - UT005023: Exception handling request to /druid/js/common.js java.lang.IllegalStateException: UT010019: Response alre
vue+druid+springboot+security中druid免密码登录
jjsmida1的博客
05-22 1189
看到网上的博客,多数是需要将登录页面下载下来,通过拦截器拦截请求,修改请求相应,设置返回码为307,再设置重定向的登录url带上账号和密码。最近需要将druid整合入后台管理系统,如果每次查看都要键入账号密码就太麻烦了,所以需要做druid的免密码登录。3.vue接受请求的账号和密码,请求/druid/submitLogin接口,带上账号和密码,就可以登录。因为我是用的是vue做前端,所以这样的方式是行不通的。2.拦截器拦截druid,同时返回登录druid的账号和密码。
关闭druid监控页面
Milkhk的博客
08-22 1474
如何关闭 druid监控页面,一直不想改代码,连接池啥的,只想改配置文件,网上各式各样的配置文件都试了没有,还是能访问到 、druid/index.html 页面, 就在一筹莫展的时候,同事说那你直接给这个页面拦截了不行吗,真是一语点醒梦中人啊,然后重启 nginx服务后,果然 druid/index.html 访问不到了,解决了一个安全漏洞~
Marco's JavaSpringMVC番外篇 之 Druid的内置监控配置】
馬克兒的私人博客
07-24 504
前言 对于数据源的概念,相信大家都已经有所了解了,在我们之前的学习中,我们接触过Mybatis的数据库连接池,以及spring数据库连接池DriverManagerDataSource,还有一些诸如c3p0以及dbcp等之前比较火得数据库连接池。但是随着技术得日益革新,对于系统的并发以及性能的要求越来越高,我们不得不寻求更好的,更稳定的数据源来获取更高的收益。 那么我们今天要讲到的Druid就是...
springboot springmvc
03-16
Spring Boot是一种基于Spring Framework的快速应用程序开发框架,它可以让开发者快速构建项目并且减少配置。Spring MVC是Spring Framework中的一个模块,用于构建Web应用程序。在Spring Boot中,可以使用Spring MVC来构建RESTful API和Web页面

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值