6

为了进行安全检查,我需要访问资源服务中用户的远程 IP 地址。这个资源服务是一个简单的最近的 Spring Boot 应用程序,它在我的 Eureka 服务器上注册了自己:

@SpringBootApplication
@EnableEurekaClient
public class ServletInitializer extends SpringBootServletInitializer {
    public static void main(final String[] args) {
        SpringApplication.run(ServletInitializer.class, args);
    }
}

在我的 Eureka 服务器上注册的所有服务都通过我基于 Angel.SR3 的 Zuul 路由代理服务器动态路由,starter-zuul并且starter-eureka

@SpringBootApplication
@EnableZuulProxy
@EnableEurekaClient
public class RoutingProxyServer {
    public static void main(final String[] args) {
        SpringApplication.run(RoutingProxyServer.class, args);
    }
}

Zuul 路由代理服务器还为下一步配置了一个 AJP 连接器:

@Configuration
@ConditionalOnProperty("ajp.port")
public class TomcatAjpConfig extends TomcatWebSocketContainerCustomizer {
    @Value("${ajp.port}")
    private int port;

    @Override
    public void doCustomize(final TomcatEmbeddedServletContainerFactory tomcat) {
        super.doCustomize(tomcat);

        // Listen for AJP requests
        Connector ajp = new Connector("AJP/1.3");
        ajp.setPort(port);
        tomcat.addAdditionalTomcatConnectors(ajp);
    }
}

对动态路由 zuul 代理的所有请求都通过 Apache 自己代理,以在标准 443 端口上提供 HTTPS:

# Preserve Host when proxying so jar apps return working URLs in JSON responses
RequestHeader           set X-Forwarded-Proto "https"
ProxyPreserveHost   On
# Redirect remaining traffic to routing proxy server
ProxyPass       /       ajp://192.168.x.x:8009/
# Also update Location, Content-Location and URI headers on HTTP redirect responses
ProxyPassReverse    /       ajp://192.168.x.x:8009/

有了这一切,资源服务就可用了,但不幸的是,我从 Spring Security 获得的 remoteAddress 是 Zuul 代理/Apache 服务器的地址,而不是远程客户端 IP 地址。

过去,我使用了一个org.springframework.security.authentication.AuthenticationDetailsSource优先于X-Forwarded-For正常值的标头值remoteAddress来获取正确的 IP 地址,但是当通过两个代理(Apache + Zuul)时,我无法弄清楚如何将正确的远程 IP 地址传递给我的资源服务.

谁能帮我访问这两个代理背后的正确远程 IP 地址,或者建议一种替代方法来让它工作?

4

2 回答 2

6

原来 X-Forwarded-For 标头是从原始请求中获取的,该请求输入 Zuul 以进行填充HttpServletRequest#getRemoteAddr()。然后必须通过RequestContext#getZuulRequestHeaders().put("X-Forwarded-For", remoteAddr). 以下ZuulFilter实现了这一点,即使它还没有将它自己的值附加到X-Forwarded-For过滤器。

@Component
@Slf4j
public class XForwardedForFilter extends ZuulFilter {
private static final String X_FORWARDED_FOR = "X-Forwarded-For";

@Override
public Object run() {
    RequestContext ctx = RequestContext.getCurrentContext();

    // Rely on HttpServletRequest to retrieve the correct remote address from upstream X-Forwarded-For header
    HttpServletRequest request = ctx.getRequest();
    String remoteAddr = request.getRemoteAddr();

    // Pass remote address downstream by setting X-Forwarded for header again on Zuul request
    log.debug("Settings X-Forwarded-For to: {}", remoteAddr);
    ctx.getZuulRequestHeaders().put(X_FORWARDED_FOR, remoteAddr);

    return null;
}

@Override
public boolean shouldFilter() {
    return true;
}

@Override
public String filterType() {
    return "pre";
}

@Override
public int filterOrder() {
    return 10000;
}
}

有人可能想在代理到 Zuul 之前清除 Apache 中的标头值,以防止仅接受用户提供的任何值:RequestHeader unset X-Forwarded-For

于 2015-09-07T13:41:14.170 回答
3

通常,您可以使用 servletRequest.getRemoteAddr() 来获取访问 Java Web 应用程序的客户端 IP 地址。

String ipAddress = request.getRemoteAddr();

但是,如果用户在代理服务器后面或通过负载均衡器访问您的 Web 服务器(例如,在云托管中),上述代码将获取代理服务器或负载均衡器服务器的 IP 地址,而不是原始 IP 地址一个客户。

要解决这个问题,您应该获取请求的 HTTP 标头“X-Forwarded-For (XFF)”的 IP 地址。

   String ipAddress = request.getHeader("X-FORWARDED-FOR");  
   if (ipAddress == null) {  
       ipAddress = request.getRemoteAddr();  
   }
于 2015-09-02T10:25:33.870 回答