zoukankan      html  css  js  c++  java
  • dubbo接口访问控制

    微服务背景下,一个web应用都可能不再service依赖,而是通过RPC调用远端服务器上的服务。这些服务里,就包括了一些不能轻易暴露的后台功能接口。暴露出去的dubbo接口注册到某一个zk上后,该dubbo接口对注册到该zk上的消费者都是可见的。对公司内部而言,通常不会有人蓄意去调用一些敏感的接口,但也存在人为误用的可能呀。为此,考虑通过白名单机制来控制dubbo接口的访问。

    现在以许可ip127.0.0.1访问接口fundRecordTemplateFacade为例演示。

    扩展Filter

    首先,我们需要实现com.alibaba.dubbo.rpc.Filter接口:

    @Activate(group = { Constants.CONSUMER, Constants.PROVIDER })
    public class FacadeAccessFilter implements Filter {
    
        private FacadeAccessConfig facadeAccessConfig;
    
        public FacadeAccessConfig getFacadeAccessConfig() {
            return facadeAccessConfig;
        }
    
        // 通过setter方式注入白名单配置文件
        public void setFacadeAccessConfig(FacadeAccessConfig facadeAccessConfig) {
            this.facadeAccessConfig = facadeAccessConfig;
        }
    
        @Override
        public Result invoke(Invoker<?> invoker, Invocation invocation) throws RpcException {
            Result result = null;
            // 获取调用的接口名
            String reqFacade = invoker.getInterface().getSimpleName();
            try {
                // 尝试在白名单配置文件里查找定义的接口,如果找不到则catch住异常、并许可访问。
                Method method;
                try {
                    method = facadeAccessConfig.getClass().getDeclaredMethod(editMethodName(reqFacade));
                } catch (NoSuchMethodException e) {
                    // 无特殊限制,则许可访问
                    result = invoker.invoke(invocation);
                    return result;
                }
                // 走到这里,说明白名单配置文件配了对该facade的访问限制
                // 获取remoteAddress:进行访问的应用,格式ip:port
                String remoteAddress = RpcContext.getContext().getRemoteAddressString();
                // 只取ip
                String remoteIp = remoteAddress.split(":")[0];
                // 获取licensinedApplications:许可的应用列表
                String licensinedApplications = (String) method.invoke(facadeAccessConfig);
                if (StringUtils.isNotEmpty(licensinedApplications) && StringUtils.isNotEmpty(remoteIp) && licensinedApplications.contains(remoteIp)) {
                    // 权限许可、进行访问
                    Help.log_info(getClass(), " remoteAddress" + remoteAddress + "访问接口" + reqFacade);
                    result = invoker.invoke(invocation);
                    return result;
                } else {
                    // 权限不许可、退出访问
                    Help.log_info(getClass(), " remoteAddress" + remoteAddress + "无权访问接口" + reqFacade);
                    result = new RpcResult("remoteAddress" + remoteAddress + "无权访问接口" + reqFacade);
                    return result;
                }
            } catch (SecurityException e) {
                Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e);
            } catch (IllegalAccessException e) {
                Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e);
            } catch (IllegalArgumentException e) {
                Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e);
            } catch (InvocationTargetException e) {
                Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e);
            }
            return result;
        }
    
        private String editMethodName(String fieldName) {
            return "get" + fieldName.substring(0, 1).toUpperCase() + fieldName.substring(1, fieldName.length());
        }
    
    }
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36
    • 37
    • 38
    • 39
    • 40
    • 41
    • 42
    • 43
    • 44
    • 45
    • 46
    • 47
    • 48
    • 49
    • 50
    • 51
    • 52
    • 53
    • 54
    • 55
    • 56
    • 57
    • 58
    • 59
    • 60
    • 61
    • 62
    • 63
    • 64

    配置文件

    1. 在resources目录下添加纯文本文件META-INF/dubbo/com.alibaba.dubbo.rpc.Filter,内容如下: 
      这里写图片描述

    2. 修改配置文件dubbo-common.xml,在dubbo:provider属性中添加配置的filter,内容如下: 
      在dubbo:provider中添加配置的filter

    3. 扩展Filter时,我们是通过setter方法将访问白名单FacadeAccessConfig注册到FacadeAccessFilter类中的,那么在配置文件(譬如:applicationContext.xml)里还需要对bean实例化。

        <!-- 将facade访问白名单注册到FacadeAccessFilter类中 -->
        <bean id="facadeAccessFilter" class="com.roger.account.provider.filter.FacadeAccessFilter">
            <property name="facadeAccessConfig" ref="facadeAccessConfig" />
        </bean>
        <bean id="facadeAccessConfig" class="com.roger.account.provider.filter.FacadeAccessConfig" />
    • 1
    • 2
    • 3
    • 4
    • 5

    访问白名单文件

    我们看一下白名单文件的设计格式。本意希望能配置成”接口名=调用接口的应用名”,因为部署应用的ip变化可能性远高于应用本身的名称修改。但是在Invoker和Invocation对象中找不到客户端的应用名,无奈之下,就设计成了”接口名=调用接口的ip”。 
    白名单

    下面是FacadeAccessConfig类,定义的私有属性都是需要控制权限的dubbo接口名,getter方法从配置平台disconf上找到对应配置文件的对应属性值。

    @Component(value = "facadeAccessConfig")
    @DisconfFile(filename = "facadeAccessConfig.properties")
    public class FacadeAccessConfig {
    
        // 定义可以访问fundRecordTemplateFacade的应用
        private String fundRecordTemplateFacade;
    
        @DisconfFileItem(associateField = "fundRecordTemplateFacade", name = "fundRecordTemplateFacade")
        public String getFundRecordTemplateFacade() {
            return fundRecordTemplateFacade;
        }
    
        public void setFundRecordTemplateFacade(String fundRecordTemplateFacade) {
            this.fundRecordTemplateFacade = fundRecordTemplateFacade;
        }
    
    }
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17

    这样,对于已经配置的一个接口,新增可访问的应用只需要添加ip。对于一个新配置的接口,只需要在配置文件facadeAccessConfig.properties里添加”接口名=调用接口的应用名”,然后在FacadeAccessConfig类中新增私有属性即可。

  • 相关阅读:
    《网络攻防与实践》第九周学习
    《网络攻防技术与实践》第八周作业
    《网络攻击技术与实践》第七周作业
    《网络攻防技术与实践》第六周学习
    《网络攻防技术与实践》第五周作业
    《网络攻防技术与实践》第四周学习
    《网络攻防技术与实践》第三周学习总结
    《网络攻防技术与实践》第二周学习总结
    20169214 2016-2017-2 《网络攻防实践》第十一周实验 SQL注入
    20169214 2016-2017-2 《移动平台开发实践》Android程序设计 实验报告
  • 原文地址:https://www.cnblogs.com/exmyth/p/8654959.html
Copyright © 2011-2022 走看看