dubbo接口访问控制
来源:互联网 发布:linux sed命令 编辑:程序博客网 时间:2024/06/13 10:56
微服务背景下,一个web应用都可能不再service依赖,而是通过RPC调用远端服务器上的服务。这些服务里,就包括了一些不能轻易暴露的后台功能接口。暴露出去的dubbo接口注册到某一个zk上后,该dubbo接口对注册到该zk上的消费者都是可见的。对公司内部而言,通常不会有人蓄意去调用一些敏感的接口,但也存在人为误用的可能呀。为此,考虑通过白名单机制来控制dubbo接口的访问。
现在以许可ip127.0.0.1访问接口fundRecordTemplateFacade为例演示。
扩展Filter
首先,我们需要实现com.alibaba.dubbo.rpc.Filter接口:
@Activate(group = { Constants.CONSUMER, Constants.PROVIDER })public class FacadeAccessFilter implements Filter { private FacadeAccessConfig facadeAccessConfig; public FacadeAccessConfig getFacadeAccessConfig() { return facadeAccessConfig; } // 通过setter方式注入白名单配置文件 public void setFacadeAccessConfig(FacadeAccessConfig facadeAccessConfig) { this.facadeAccessConfig = facadeAccessConfig; } @Override public Result invoke(Invoker<?> invoker, Invocation invocation) throws RpcException { Result result = null; // 获取调用的接口名 String reqFacade = invoker.getInterface().getSimpleName(); try { // 尝试在白名单配置文件里查找定义的接口,如果找不到则catch住异常、并许可访问。 Method method; try { method = facadeAccessConfig.getClass().getDeclaredMethod(editMethodName(reqFacade)); } catch (NoSuchMethodException e) { // 无特殊限制,则许可访问 result = invoker.invoke(invocation); return result; } // 走到这里,说明白名单配置文件配了对该facade的访问限制 // 获取remoteAddress:进行访问的应用,格式ip:port String remoteAddress = RpcContext.getContext().getRemoteAddressString(); // 只取ip String remoteIp = remoteAddress.split(":")[0]; // 获取licensinedApplications:许可的应用列表 String licensinedApplications = (String) method.invoke(facadeAccessConfig); if (StringUtils.isNotEmpty(licensinedApplications) && StringUtils.isNotEmpty(remoteIp) && licensinedApplications.contains(remoteIp)) { // 权限许可、进行访问 Help.log_info(getClass(), " remoteAddress" + remoteAddress + "访问接口" + reqFacade); result = invoker.invoke(invocation); return result; } else { // 权限不许可、退出访问 Help.log_info(getClass(), " remoteAddress" + remoteAddress + "无权访问接口" + reqFacade); result = new RpcResult("remoteAddress" + remoteAddress + "无权访问接口" + reqFacade); return result; } } catch (SecurityException e) { Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e); } catch (IllegalAccessException e) { Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e); } catch (IllegalArgumentException e) { Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e); } catch (InvocationTargetException e) { Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e); } return result; } private String editMethodName(String fieldName) { return "get" + fieldName.substring(0, 1).toUpperCase() + fieldName.substring(1, fieldName.length()); }}
配置文件
在resources目录下添加纯文本文件META-INF/dubbo/com.alibaba.dubbo.rpc.Filter,内容如下:
修改配置文件dubbo-common.xml,在dubbo:provider属性中添加配置的filter,内容如下:
扩展Filter时,我们是通过setter方法将访问白名单FacadeAccessConfig注册到FacadeAccessFilter类中的,那么在配置文件(譬如:applicationContext.xml)里还需要对bean实例化。
<!-- 将facade访问白名单注册到FacadeAccessFilter类中 --> <bean id="facadeAccessFilter" class="com.roger.account.provider.filter.FacadeAccessFilter"> <property name="facadeAccessConfig" ref="facadeAccessConfig" /> </bean> <bean id="facadeAccessConfig" class="com.roger.account.provider.filter.FacadeAccessConfig" />
访问白名单文件
我们看一下白名单文件的设计格式。本意希望能配置成”接口名=调用接口的应用名”,因为部署应用的ip变化可能性远高于应用本身的名称修改。但是在Invoker和Invocation对象中找不到客户端的应用名,无奈之下,就设计成了”接口名=调用接口的ip”。
下面是FacadeAccessConfig类,定义的私有属性都是需要控制权限的dubbo接口名,getter方法从配置平台disconf上找到对应配置文件的对应属性值。
@Component(value = "facadeAccessConfig")@DisconfFile(filename = "facadeAccessConfig.properties")public class FacadeAccessConfig { // 定义可以访问fundRecordTemplateFacade的应用 private String fundRecordTemplateFacade; @DisconfFileItem(associateField = "fundRecordTemplateFacade", name = "fundRecordTemplateFacade") public String getFundRecordTemplateFacade() { return fundRecordTemplateFacade; } public void setFundRecordTemplateFacade(String fundRecordTemplateFacade) { this.fundRecordTemplateFacade = fundRecordTemplateFacade; }}
这样,对于已经配置的一个接口,新增可访问的应用只需要添加ip。对于一个新配置的接口,只需要在配置文件facadeAccessConfig.properties里添加”接口名=调用接口的应用名”,然后在FacadeAccessConfig类中新增私有属性即可。
- dubbo接口访问控制
- 在接口上应用访问控制列表
- webservice接口访问频率的控制问题
- 抽象类 | 接口 | 包 | 访问控制
- 类 抽象类 接口 访问控制符
- NET(C#)接入Dubbo服务,Zookeeper作为Dubbo服务的注册中心,实现thrift协议访问接口(1)
- NET(C#)接入Dubbo服务,Zookeeper作为Dubbo服务的注册中心,实现thrift协议访问接口(2)
- NET(C#)接入Dubbo服务,Zookeeper作为Dubbo服务的注册中心,实现thrift协议访问接口(3)
- Dubbo并发控制
- 国密SKF接口函数介绍之二:访问控制函数
- 国密SKF接口函数介绍之二:访问控制函数
- Dubbo 接口 、提供者、消费者
- dubbo接口配置说明
- jmeter测试dubbo接口
- dubbo接口压测初体验
- 【java编程思想--学习笔记(三)】访问控制-接口实现与类的访问权限
- 接口控制
- 访问控制
- Start Express Frameworks
- 基于fread()函数的读数据优化
- 人脸特征点提取—ASM算法
- Java 中 Timers 类
- Java学习笔记--反射
- dubbo接口访问控制
- 单源最短路径Dijkstra,C++\Java
- 鸟哥的linux私房菜学习笔记7
- 用c语言实现两个数的最大公因数与最小公倍数
- Mybatis Generator最完整配置详解
- 相控阵雷达天线与MIMO天线的区别
- 【Keras案例学习】 CNN做手写字符分类
- 【源码分析】Android触摸事件的分发拦截
- java 自定义异常类