IP白名单鉴权

最新推荐文章于 2025-10-10 14:28:32 发布
原创 最新推荐文章于 2025-10-10 14:28:32 发布 · 8.2k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#IP白名单 #鉴权

本文介绍了如何在开发中实现IP白名单鉴权,以防止非法访问。主要包括获取客户端真实IP、设置IP白名单以及通过Spring MVC拦截器过滤非法IP。提供了白名单工具类的说明和Spring MVC拦截器的配置方法。

参考地址:https://www.cnblogs.com/shinubi/p/6723003.html

开发过程中,当给第三方提供接口的时候,总会涉及到对ip鉴权,防止其他用户非法访问。而要完成以上功能,需要做到三步:
1. 获取客户端真实ip
2. 设置访问白名单
3. 过滤非法ip

获取客户端真实IP,已在上一篇做了介绍,这里不在赘述,以下主要介绍后两步。

获取白名单

以下白名单工具类支持单个ip、包含一个通配符“*” 和IP范围设置

import java.util.ArrayList;
import java.util.HashSet;
import java.util.List;
import java.util.Set;
import java.util.regex.Pattern;

/**
 * @ClassName:IPWhiteUtil
 * @Function: IP 白名单.
 * @Reason:关于IP白名单相关.
 * @Date: 2018-5-8
 * @version
 */
public class IPWhiteUtil {
    // IP的正则
    private static Pattern pattern = Pattern
            .compile("(1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})\\."
                    + "(1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})\\."
                    + "(1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})\\."
                    + "(1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})");

    /**
     * 
     * getAvaliIpList:(根据IP白名单设置获取可用的IP列表).
     * 
     * @date 2018-5-8 
     * @param ipConfig
     * @return
     */

    private static Set<String> getAvaliIpList(String allowIp) {

        Set<String> ipList = new HashSet<String>();
        for (String allow : allowIp.replaceAll("\\s", "").split(";")) {
            if (allow.indexOf("*") > -1) {
                String[] ips = allow.split("\\.");
                String[] from = new String[] { "0", "0", "0", "0" };
                String[] end = new String[] { "255", "255", "255", "255" };
                List<String> tem = new ArrayList<String>();
                for (int i = 0; i < ips.length; i++)
                    if (ips[i].indexOf("*") > -1) {
                        tem = complete(ips[i]);
                        from[i] = null;
                        end[i] = null;
                    } else {
                        from[i] = ips[i];
                        end[i] = ips[i];
                    }

                StringBuffer fromIP = new StringBuffer();
                StringBuffer endIP = new StringBuffer();
                for (int i = 0; i < 4; i++)
                    if (from[i] != null) {
                        fromIP.append(from[i]).append(".");
                        endIP.append(end[i]).append(".");
                    } else {
                        fromIP.append("[*].");
                        endIP.append("[*].");
                    }
                fromIP.deleteCharAt(fromIP.length() - 1);
                endIP.deleteCharAt(endIP.length() - 1);

                for (String s : tem) {
                    String ip = fromIP.toString().replace("[*]",
                            s.split(";")[0])
                            + "-"
                            + endIP.toString().replace("[*]", s.split(";")[1]);
                    if (validate(ip)) {
                        ipList.add(ip);
                    }
                }
            } else {
                if (validate(allow)) {
                    ipList.add(allow);
                }
            }

        }
        return ipList;
    }

    /**
     * 对单个IP节点进行范围限定
     * 
     * @param arg
     * @return 返回限定后的IP范围,格式为List[10;19, 100;199]
     */
    private static List<String> complete(String arg) {
        List<String> com = new ArrayList<String>();
        if (arg.length() == 1) {
            com.add("0;255");
        } else if (arg.length() == 2) {
            String s1 = complete(arg, 1);
            if (s1 != null)
                com.add(s1);
            String s2 = complete(arg, 2);
            if (s2 != null)
                com.add(s2);
        } else {
            String s1 = complete(arg, 1);
            if (s1 != null)
                com.add(s1);
        }
        return com;
    }

    private static String complete(String arg, int length) {
        String from = "";
        String end = "";
        if (length == 1) {
            from = arg.replace("*", "0");
            end = arg.replace("*", "9");
        } else {
            from = arg.replace("*", "00");
            end = arg.replace("*", "99");
        }
        if (Integer.valueOf(from) > 255)
            return null;
        if (Integer.valueOf(end) > 255)
            end = "255";
        return from + ";" + end;
    }

    /**
     * 在添加至白名单时进行格式校验
     * 
     * @param ip
     * @return
     */
    private static boolean validate(String ip) {
        for (String s : ip.split("-"))
            if (!pattern.matcher(s).matches()) {
                return false;
            }
        return true;
    }

    /**
     * 
     * checkLoginIP:(根据IP,及可用Ip列表来判断ip是否包含在白名单之中).
     * @date 2018-5-8 下午03:01:03
     * @param ip
     * @param ipList
     * @return
     */
    private static boolean checkLoginIP(String ip, Set<String> ipList) {
        if (ipList.isEmpty() || ipList.contains(ip))
            return true;
        else {
            for (String allow : ipList) {
                if (allow.indexOf("-") > -1) {
                    String[] from = allow.split("-")[0].split("\\.");
                    String[] end = allow.split("-")[1].split("\\.");
                    String[] tag = ip.split("\\.");

                    // 对IP从左到右进行逐段匹配
                    boolean check = true;
                    for (int i = 0; i < 4; i++) {
                        int s = Integer.valueOf(from[i]);
                        int t = Integer.valueOf(tag[i]);
                        int e = Integer.valueOf(end[i]);
                        if (!(s <= t && t <= e)) {
                            check = false;
                            break;
                        }
                    }
                    if (check) {
                        return true;
                    }
                }
            }
        }
        return false;
    }

    /**
     * 
     * checkLoginIP:(根据IP地址,及IP白名单设置规则判断IP是否包含在白名单).
     * @date 2018-5-8 
     * @param ip
     * @param ipWhiteConfig
     * @return
     */
    public static boolean checkLoginIP(String ip,String ipWhiteConfig){
        Set<String> ipList = getAvaliIpList(ipWhiteConfig);
        return checkLoginIP(ip, ipList);
    }

    public static void main(String[] args) {

        String ipWhilte = "192.168.1.1;" +                 //设置单个IP的白名单
                          "192.168.2.*;" +                 //设置ip通配符,对一个ip段进行匹配
                          "192.168.3.17-192.168.3.38";     //设置一个IP范围
        boolean flag = IPWhiteUtil.checkLoginIP("192.168.2.2",ipWhilte);
        boolean flag2 = IPWhiteUtil.checkLoginIP("192.168.1.2",ipWhilte);
        boolean flag3 = IPWhiteUtil.checkLoginIP("192.168.3.16",ipWhilte);
        boolean flag4 = IPWhiteUtil.checkLoginIP("192.168.3.19",ipWhilte);
        System.out.println(flag);  //true
        System.out.println(flag2);  //false
        System.out.println(flag3);  //false
        System.out.println(flag4);  //true
    }
}
通过spring MVC拦截器拦截IP

继承HandlerInterceptorAdapter类,并重写preHandle方法

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import com.neusoft.airline.scal.ota.util.IPWhiteUtil;
import com.neusoft.airline.scal.ota.util.OtaConfigUtil;

public class IPLimitInterceptor extends HandlerInterceptorAdapter{

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {
        String ip = getIpAddress(request);
        String whiteIPList = OtaConfigUtil.getOtaWhiteIP();
        if(IPWhiteUtil.checkLoginIP(ip, whiteIPList)) {
            return super.preHandle(request, response, handler);
        }
        throw new Exception("IP非法访问!");
    }

    private String getIpAddress(HttpServletRequest request) {
        String ip = request.getHeader("x-forwarded-for");
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_CLIENT_IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_X_FORWARDED_FOR");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getRemoteAddr();
        }
        //对于通过多个代理的情况,第一个IP为客户端真实IP,多个IP按照','分割    
        if(ip!=null && ip.length()>15){ //"***.***.***.***".length() = 15    
            if(ip.indexOf(",")>0){    
                ip = ip.substring(0,ip.indexOf(","));    
            }    
        }    
        System.out.println("访问ip========="+ip);
        return ip;
    }
}

在springMVC配置文件中添加映射

<mvc:interceptors>
    <!-- IP鉴权拦截器 -->
    <mvc:interceptor>
        <mvc:mapping path="/**"/>
        <bean class="com.neusoft.airline.scal.ota.interceptor.IPLimitInterceptor"></bean>
    </mvc:interceptor>
</mvc:interceptors>
开放平台: 签名密钥、回调地址、ip白名单管理。
专注于计算机研发知识和资讯分享
08-14 478
进行开放服务的API签名校验时,根据请求头的APPID查询签名密钥secret_key,进行接口的签名校验。交易接口设计加密相关字段: 回调地址、白名单IP、渠道商私钥、渠道商公钥、是否加密(1:加密,0:不加密)进行开放服务的API签名校验时,根据请求头的APPID查询签名密钥secret_key,进行接口的签名校验。实现:基于代理商渠道表进行管理,请求方式统一使用POST,代理商渠道信息存储到Redis中。需求: 提供给下游的开放平台,需要对接口做签名密钥、回调地址、ip白名单管理。
zuul简单实现ip白名单机制
xinpz的博客
11-13 1992
微服务--zuul简单实现ip白名单机制 网关zuul中简单的实现对访问ip的黑白名单机制,控制服务访问ip,一定程度上提高系统安全性。 目录 微服务--zuul简单实现ip白名单机制 一、 从HttpServletRequest获取访问ip方法 二、继承ZuulFilter过滤器,重写run方法,实现 总结 一、 从HttpServletRequest获取访问ip方法 public static String getIpAddress(HttpServletReq...
IP
Java晋升指北
03-15 1万+
IP 1、MrpIPIntercepter package com.huawei.mrp.common.interceptors; import com.huawei.market.configmgr.ConfigMgr; import com.huawei.mrp.common.util.other.RequestUtil; import com.opensymphony.xwor...
IPv6:IP地址(比较两个IP地址是否相等)
test1280
04-05 7515
IPv6:IP地址(比较两个IP地址是否相等) IPv4地址长度为32bit(4B),只有点分十进制一种表示形式。 IPv4地址的点分十进制形式,最长为: ddd.ddd.ddd.ddd 共计15字节,用16字节来存储即可。 比较两个IPv4的地址是否相等,可以通过简单的字符串比较。 IPv6地址长度为128bit(32B),使用“冒分十六进制表示法” 和/或 “0位压缩表示法...
IP白名单:网络安全中的“信任之门”
最新发布
weixin_70208651的博客
10-10 681
IP白名单是网络安全与管理的重要工具。它通过预设允许访问的IP地址列表,构建起一道严格的“门禁”。在网络安全防护上,能有效阻挡未知与恶意IP的攻击,降低系统被入侵风险;在访问限制方面,可精准控制资源服务访问范围,满足特定场景需求。同时,它能过滤无效访问,优化网络性能,减少带宽与资源占用。此外,对于有合规要求的行业,IP白名单可助力满足法规。实施时,需确定合法IP、配置设备并定期维护,还应与其他安全措施结合,形成多层次防护,保障网络稳定安全运行。
mysql ip_网站登录的实现
weixin_39929793的博客
02-26 240
什么是网站,目的是什么?一般来说,一个网站不可能只有一种操作限。举个例子,可能存在未登录的操作限,登录的操作限,以及管理员的操作限等。网站的目的就是用户在进行操作前,对用户的身份进行识别并判断其是否具有该操作限的过程。网站的几种方式这里我们将问题简单化,即操作限只区分用户是否进行了登录。Session方式实现(1)Session实现1>用户首先进行登录,如登录成功...
tomcat 显示访问的ip白名单
qq_33240556的博客
11-23 793
找到 Tomcat 服务器根目录下的 conf/server.xml,在 节点内添加一个属性 className 的值为 “org.apache.catalina.valves.RemoteAddrValve” 的 节点:
防火墙添加ip白名单_怎么给防火墙白名单 防火墙添加ip白名单
weixin_39794385的博客
01-15 7056
怎么设置防火墙白名单?1。首先,导航到控制面板并在控制面板中找到windows防火墙选项。如果找不到,请切换到左侧菜单中的经典视图;2。双击“windows防火墙”弹出一个新对话框。默认情况下,“常规”选项卡处于选中状态。一般来说,不需要完全关闭防火墙来确保防火墙已打开;3一步切换到“例外”选项卡,您可以在其中添加程序或端口作为信任,这样防火墙将不再阻止,您可以编辑或删除现有项。单击“添加程序”按...
springboot 中利用security组件控制登录:通过 ip白名单进行 认证
青青河边草
11-08 8454
&lt;!-- 实现白名单的依赖&gt; &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-security&lt;/artifactId&gt; &lt;/dependency&gt; 第一个类: 验证入口 /
openresty安全机制-白名单
龙哥·三年风水从2011年开始做IT工作,从ps画图到前端开发->后端开发->框架开发->业务架构设计及开发->业务需求整理、开发->技术经理->技术总监
08-08 2018
web发布之openresty-openresty安全配置(白名单)-centos7
Nginx 后台访问设置白名单
leisir02的博客
10-10 909
后台限制ip登录
Tomcat IP白名单/黑名单配置
allway2的博客
07-28 3794
通过本地ipv4和ipv6地址的127.xx.xx.xx和1和00000001访问ApplicationsManager。理想情况下,用户应该使用网络防火墙来限制基于IP的访问。您可以将IP地址列入白名单或黑名单。根据您的要求在第二步中找到的行下添加以下行。从受限IP访问Tomcat时HTTPERROR500将作为响应返回。-只允许访问与正则表达式模式匹配的特定IP集。-拒绝访问与正则表达式模式匹配的特定IP集。...
springboot 过滤器filter ,ip
舒适hanxs4
09-23 1165
main函数添加注解@ServletComponentScan 编写filter类 package cn.com.cintel.ims.lmn.common; import cn.com.cintel.ims.lmn.common.utils.IpUtils; import cn.com.cintel.ims.lmn.common.utils.rest.RequestUtil; import cn.com.cintel.ims.lmn.config.YmlParameterConfig; impor.
添加IP白名单的方法,你知道几个?
D0126_的博客
07-31 1万+
优势在于,即使您的IP地址发生变化,您的域名仍然指向正确的IP地址。代理将您的网络流量路由到其服务器,然后通过服务器访问目标网站或服务,使得目标站点无法获取您的真实IP地址。这是最简单的方法,只需通过登录网站的控制台或管理后台,找到IP白名单设置的选项,然后手动添加您的IP地址。在各种网络操作中,不同网站和服务可能会对来源IP地址进行限制,为了正常访问,我们需要将自己的IP地址添加到白名单中。本文将为您详细介绍添加IP白名单的几种方法以及它们之间的优劣比较,同时分享可能遇到的问题和解决方案。
Tomcat设置IP黑名单和白名单server.xml
樂小伍
10-19 2536
【代码】Tomcat设置IP黑名单和白名单server.xml。
如何给Nginx配置访问IP白名单
热门推荐
lxw1844912514的博客
09-26 1万+
如果想增加允许访问的IP范围,例如10.10.10.0~10.10.10.255,需要使用CIDR格式表示你的IP范围,在Nginx中默认仅允许IP地址和CIDR格式,CIDR转IPv4网站:https://www.ipaddressguide.com/cidr。给的,将需要做301跳转的IP,直接写到/tmp/ip文件中,支持网段,一行一个,添加后不需要重启nginx,即时生效。不确定或者不能访问外网的话,就在nginx的报错日志里找,logs/error.log,能找到访问此nginx的IP
[WebServer] Tomcat 配置访问限制:访问白名单和访问黑名单
杨勇博客之家
07-11 1万+
最近公司的阿里云服务器上配置的 Tomcat 服务器运行 java的环境,但是通过观察 Tomcat 这几天的日志发现,有很多莫名其妙的 IP 访问主机下莫名其妙的地址,如:/80、/testproxy.php、/cache/global/img/gs.gif、CONNECT check.best-proxies.ru:80 等等,后来通过搜索这些访问 IP 得知是进行端口扫描的地址,为了防止这些
什么是IP白名单?为什么要设置IP白名单
xiaoxionghttp的博客
03-07 3791
IP白名单是指将一些特定的IP地址列入允许访问的名单中,这些IP地址被视为可信的来源。(1)保护核心资源:对于一些重要的网站、服务器或数据库等核心资源,设置IP白名单可以确保只有授IP地址能够访问,防止未经授的访问和攻击。(2)防止滥用和欺诈:在一些高风险的场景中,如金融交易、在线支付等,设置IP白名单可以防止滥用和欺诈行为的发生,确保交易的安全性和可靠性。(2)资源管理:对于一些高价值的资源或服务,可以通过设置IP白名单来限制访问,确保只有授的用户能够使用,防止资源滥用或被盗用。
sa-token 改造 registry.addInterceptor(new SaInterceptor()).addPathPatterns("/**"); 实现自定义全局策略 实现白名单 IP 动态跳过逻辑
03-28
<think>好的,我需要帮助用户实现基于Sa-Token的动态白名单IP跳过逻辑。用户提到了自定义全局策略,使用SaInterceptor,添加路径模式等。首先,我得回忆一下Sa-Token的相关文档。 Sa-Token的拦截器SaInterceptor通常用于配置限验证规则。用户想动态管理白名单IP,可能需要在每次请求时检查客户端IP是否在白名单列表中,如果在,就跳过。这需要自定义一个验证方法,并注册为全局拦截器。 首先,用户可能需要创建一个实现StpInterface的类,或者使用自定义的拦截逻辑。不过Sa-Token的SaInterceptor允许添加自定义的验证逻辑。因此,我应该考虑如何在这个拦截器中添加IP检查。 然后,动态白名单意味着IP列表可能存储在数据库或配置文件中,可以随时更新。因此,在逻辑中需要实时查询当前的IP白名单列表。例如,在拦截器的preHandle方法中获取请求的IP,并检查是否在允许的列表中。如果在,就跳过后续的步骤。 接下来,用户需要配置全局拦截器,使用addInterceptor添加SaInterceptor,并通过addPathPatterns指定需要拦截的路径。这里可能需要排除一些路径,或者覆盖默认的拦截规则。 另外,参考用户提供的引用内容,特别是引用[3]中提到的依赖配置,确保项目中已经正确引入了Sa-Token的依赖。然后,参考引用[1]中的限检查注解,可能需要结合自定义的拦截器来实现动态IP白名单。 可能的步骤是: 1. 创建一个IP白名单服务类,用于获取当前有效的IP列表。 2. 自定义一个SaInterceptor的子类,或者在现有拦截器中添加前置处理逻辑,检查请求IP是否在白名单中。 3. 如果IP白名单中,可能直接放行请求,或者设置上下文中的限标记,跳过后续的检查。 4. 注册这个自定义的拦截器到Spring的拦截器链中,并指定需要拦截的路径。 需要注意的是,Sa-Token的StpUtil可能提供了相关的API来动态修改拦截规则,但用户的需求更偏向于在请求处理前根据IP动态决定是否。因此,可能需要在拦截器的preHandle方法中实现这一逻辑。 最后,确保代码示例正确,使用$$...$$格式的独立公式(如果有数学表达式的话),但这个问题主要涉及代码配置,可能不需要数学公式。不过用户提到的系统级指令需要严格遵守格式要求,比如行内代码用$...$,但代码块应该用三个反引号包裹,并标明语言。 总结一下,回答的结构应该是先解释步骤,然后给出代码示例,包括依赖配置、白名单服务、自定义拦截器、注册拦截器,最后可能遇到的问题和注意事项。同时,生成相关问题,比如如何动态更新白名单,或者如何结合其他方式等。</think>### 基于 Sa-Token 实现动态白名单 IP 跳过逻辑 #### 1. 添加依赖 确保项目中已引入 Sa-Token 依赖(参考引用[^3]): ```xml <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> <version>1.33.0</version> </dependency> ``` #### 2. 创建动态 IP 白名单服务 实现一个动态查询白名单 IP 的接口(例如从数据库或配置中心读取): ```java @Service public class IpWhitelistService { // 示例:从数据库查询白名单 IP 列表 public List<String> getWhitelistIps() { return Arrays.asList("192.168.1.100", "127.0.0.1"); } } ``` #### 3. 自定义全局拦截器逻辑 通过 `SaInterceptor` 和 `SaStrategy` 实现 IP 白名单跳过: ```java @Configuration public class SaTokenConfig implements WebMvcConfigurer { @Autowired private IpWhitelistService ipWhitelistService; @Override public void addInterceptors(InterceptorRegistry registry) { // 注册 Sa-Token 拦截器并自定义逻辑 registry.addInterceptor(new SaInterceptor(handler -> { // 获取当前请求 IP String clientIp = SaHolder.getRequest().getClientIp(); // 动态判断 IP 是否在白名单中 if (ipWhitelistService.getWhitelistIps().contains(clientIp)) { SaRouter.skip(); // 跳过 } else { SaRouter.check(() -> StpUtil.checkLogin()); // 默认逻辑 } })).addPathPatterns("/**"); // 拦截所有路径 } } ``` #### 4. 配置路径匹配规则(可选) 若需限定特定路径生效,可调整 `addPathPatterns` 和 `excludePathPatterns`: ```java .addPathPatterns("/api/**") // 仅拦截 /api 开头的路径 .excludePathPatterns("/public/**"); // 排除公开路径 ``` #### 5. 注意事项 - **动态更新**:白名单 IP 的变更需实时生效,可通过缓存或事件监听机制实现。 - **安全性**:生产环境建议结合日志监控,避免 IP 伪造攻击。 - **优先级**:拦截器顺序可能影响逻辑,需确保 SaTokenConfig 的优先级正确。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值