【Spring Security】如何设置hasIpAddress及获取客户端请求的IP进行有效配置

最新推荐文章于 2024-04-10 23:30:58 发布
最新推荐文章于 2024-04-10 23:30:58 发布
阅读量3k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yidragon88xx/article/details/119450209
版权

首先第一个问题,设置hasIpAddress的方法为:

在实现WebSeurityConfig配置文件中的WebSecurity部分设置,例如

http.authorizeRequests().antMatchers("/admin/user/getByUserName").access("hasIpAddress('127.0.0.1')...

当通过服务发现方式来调用时,由于客户机可能存在多个网卡的情况,导致这个配置IP不准确的情况,这个时候需要通过Spring Security Web源码部分进行分析,可以得知。

1、Spring Security是通过FilterChainProxy来根据设置过滤器进行拦截处理的。

2、IP地址的过滤时通过FilterSecurityInterceptor调用DefaultSecurityExpressionHandler进行Ip地址的匹配情况的,这里可以获得客户机请求的地址request.getRemoteAddr(),这样可以知道配置那个IP作为白名单了。

public class CustomWebSecurityExpressionHandler extends AbstractSecurityExpressionHandler<FilterInvocation>
        implements SecurityExpressionHandler<FilterInvocation> {

        private AuthenticationTrustResolver trustResolver = new AuthenticationTrustResolverImpl();

        private String defaultRolePrefix = "ROLE_";

        @Override
        protected SecurityExpressionOperations createSecurityExpressionRoot(Authentication authentication, FilterInvocation fi) {
                WebSecurityExpressionRoot root = new WebSecurityExpressionRoot(authentication, fi);
                System.out.println("=================================" + fi.getRequest().getRemoteAddr());
                root.setPermissionEvaluator(getPermissionEvaluator());
                root.setTrustResolver(this.trustResolver);
                root.setRoleHierarchy(this.getRoleHierarchy());
                root.setDefaultRolePrefix(this.defaultRolePrefix);
                return root;
        }

当然也可以重写DefaultSecurityExpressionHandler方法自由的获取request.getRemoteAddr()的相关信息,这是需要在WebSeurityConfig中声明Bean,并设定为使用的Handler。代码如下:  

  @Bean
    public SecurityExpressionHandler<FilterInvocation> customWebSecurityExpressionHandler() {
        return new CustomWebSecurityExpressionHandler();
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().expressionHandler(customWebSecurityExpressionHandler())

        ....

    }

IMK7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Spring Boot进阶(86):整合Spring Security,实现基于IP地址的访问控制 | 超级详细,建议收藏
**My Coding Family**
04-17 5666
整合Spring Security,实现基于IP地址的访问控制,一文带你搞定
SpringBoot+SpringSecurity处理Ajax登录请求问题(推荐)
08-28
SpringBoot+SpringSecurity处理Ajax登录请求问题 ...使用SpringBoot+SpringSecurity处理Ajax登录请求问题需要我们了解SpringBoot、SpringSecurity、MyBatis等技术框架,并掌握相关的配置和实现细节。
Spring Security的实现原理
qq_39481994的博客
05-10 485
spring security是基于spring AOP和servlet过滤器的安全框架,在web请求级和方法调用级处理身份确认和授权。 spring security借助了一系列的Servlet Filter,当添加了@EnableWebSecurity注解之后,Spring会创建一个名字为SpringSecurityFilterChain的Bean,其类型为DelegatingFilterProxy,这是一个特殊的ServletFilter,将工作委托给一个javax.servlet.Filter的实
springsecurity的登陆用户信息查询接口的校验或hasIpAddress()用法
weixin_42642782的博客
02-01 1726
springsecurity的登陆用户信息查询接口的校验或hasIpAddress()用法 一般的微服务架构下,auth服务都是单独的只做token颁发和校验的模块,所以当在进行用户登录或其他操作的时候,都需要调用其他的服务进行用户信息的查询和密码比对。 那么其他服务的这个接口的隐蔽性就会受到挑战。 但是发现在springsecurity的权限控制当中,有一个方法很好用: hasIpAddress() @Value(value = "${auth.address}") private Str
Spring Security 中如何快速查看登录用户 IP 地址等信息?
最新发布
2301_79099373的博客
04-10 400
我们总是喜欢瞻仰大厂的大神们,但实际上大神也不过凡人,与菜鸟程序员相比,也就多花了几分心思,如果你再不努力,差距也只会越来越大。面试题多多少少对于你接下来所要做的事肯定有点帮助,但我更希望你能透过面试题去总结自己的不足,以提高自己核心技术竞争力。每一次面试经历都是对你技术的扫盲,面试后的复盘总结效果是极好的!一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
Spring Security(16)——基于表达式的权限控制
dotedy的博客
10-16 1870
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式的权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
SpringSecurity原理剖析及其实战(五)
weixin_43934626的博客
11-08 837
SpringSecurity原理剖析及其实战(五)1、用户授权(访问控制)2、基于权限的访问控制3、基于表达式的访问控制4、方法授权5 、授权原理6、授权流程 1、用户授权(访问控制) 什么是授权? 授权的方式常分为两种,web授权和方法授权,web授权是通过url拦截进行授权,方法授权是通过方法拦截进行授权。他们都会调用accessDecisionManager进行授权决策,若为web授权则拦截器为FilterSecurityInterceptor;若为方法授权则拦截器为MethodSecurity
springboot 6.0版本,弃用.hasIpAddress()后,如何实现允许指定IP地址访问?(在acwing springboot课程中,实现允许IP:127.0.0.1访问)
weixin_43162683的博客
01-31 333
springboot 6.0版本,弃用.hasIpAddress()后,如何实现允许指定IP地址访问? 以acwing springboot 实现微服务:匹配系统时的SecurityConfig为示例。
spring security 动态管理IPhasIpAddress)限制爆出异常UnsupportedOperationException
iteye_3066的博客
05-21 1302
org.apache.jasper.JasperException: java.lang.UnsupportedOperationException org.apache.jasper.servlet.JspServletWrapper.handleJspException(JspServletWrapper.java:541) org.apache.jasper.servlet.JspS...
记录Spring Security hasIpAddress()失效的问题
m0_63542293的博客
03-14 374
会被Nginx自动转成http://192.168.1.100:8081/xxx/xxx/xxxxx 所以识别为可以访问的ip。当访问http://192.168.1.100:8080/xxx/xxx/xxxxx 时,查找原因发现是Nginx端口8080指向我本机ip端口8081,导致所有ip都可访问。解决办法是跳过Nginx,直接访问项目的端口即可。在SecurityConfig类中添加如下代码。重启项目后,发现任何ip都可以访问此接口。// 允许访问此接口的ip地址。
本地访问本地机器时localhost和hasIpAddress('192.168.1.0/16')不匹配
iteye_3066的博客
05-20 857
因为当时用http://localhost:8081/bs/访问本地的应用程序时 request.getRemoteAddr() 获取到的是 127.0.0.1,所以和hasIpAddress('192.168.1.0/16')不匹配 要用地址 http://192.168.33.88:8081/bs/访问就可以了...
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 配置多个 AuthenticationProvider 详解 Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序...
详解springSecurity之java配置
08-18
Spring Security 之 Java 配置Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。Spring Security 的 Java 配置是指使用 Java 代码来配置 Spring Security,以便更好地控制...
Spring Security基本配置方法解析
08-25
配置Spring Security之前,需要先建立一个maven多模块工程,spring-security是父模块,spring-security-browser是处理浏览器相关的授权认证,最终作为demo的一个jar依赖,spring-security-core是一些授权认证的...
Spring Security实现禁止用户重复登陆的配置原理
08-25
Spring Security 是一个功能强大且灵活的安全框架,提供了许多强大的安全功能,其中之一就是禁止用户重复登陆的配置原理。本文将详细介绍 Spring Security 实现禁止用户重复登陆的配置原理,并提供了详细的示例代码...
Spring Securityspring安全框架(授权总结)
程序员小白
06-15 560
安全框架
Spring Security 实现IP白名单机制
热门推荐
neweastsun的专栏
03-08 1万+
Spring Security 实现IP白名单机制 本文讨论如何在Spring Security 中实现IP白名单机制。先看看默认实现机制,同时也讨论自定义AuthenticationProvider实现更加灵活的应用。 1. 默认实现 首先我们看下Java配置。使用hasIpAddress() 定义允许特定ip地址的用户访问特定资源。请看下面使用hasIpAddress()的配置: @Confi...
SpringSecurity系列——访问权限判断(权限,角色,IP),权限不足(403)处理day6-1(源于官网5.7.2版本)
qq_51553982的博客
07-26 1053
为了你对本文的内容不产生疑惑请先看下方说明当我们无权限时,SpringSecurity会给我们返回403的空白页面,实际上对用户是不友好的,用户不关心处理结果,只关心自己能否访问,所以自定义权限不足的时候的处理显得十分重要,在前后端分离的今天,其实我们只需要返回给前端json数据即可data.put("msg","用户权限不足!");}}...
HttpSecurity常用方法详解
qq_30641461的博客
10-11 1万+
requestMatchers() 取得RequestMatcherConfigurer对象并配置允许过滤的路由; 如requestMatchers().anyRequest()等同于http.authorizeRequests().anyRequest().access(“permitAll”); 如下面两个例子: @Override public void configure(HttpSecurity http) throws Exception { //只允许路由由test开头的需要
Spring Boot中的RestTemplate获取客户端公网ip和局域网ip
05-13
Spring Boot中使用RestTemplate发送请求时,可以通过以下方式获取客户端公网IP和局域网IP: 1. 获取公网IP 在发送请求之前,可以通过访问外部接口获取公网IP。例如,可以使用以下代码: ``` RestTemplate restTemplate = new RestTemplate(); String response = restTemplate.getForObject("http://checkip.amazonaws.com", String.class); String publicIp = response.trim(); ``` 这个代码将会访问Amazon AWS的checkip服务,返回当前请求的公网IP地址。 2. 获取局域网IPSpring Boot应用程序中,可以通过 HttpServletRequest 接口获取局域网IP地址。例如,可以使用以下代码: ``` @RestController public class MyController { @Autowired private HttpServletRequest request; @GetMapping("/ip") public String getIp() { String localIp = request.getLocalAddr(); return "Local IP: " + localIp; } } ``` 这个代码将会返回当前请求的局域网IP地址。 需要注意的是,局域网IP地址只能在局域网内部使用,无法被公网访问。因此如果需要在公网中获取客户端IP地址,需要使用公网IP地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IMK7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值