dubbo接口访问控制
微服务背景下,一个web应用都可能不再service依赖,而是通过RPC调用远端服务器上的服务。这些服务里,就包括了一些不能轻易暴露的后台功能接口。暴露出去的dubbo接口注册到某一个zk上后,该dubbo接口对注册到该zk上的消费者都是可见的。对公司内部而言,通常不会有人蓄意去调用一些敏感的接口,但也存在人为误用的可能呀。为此,考虑通过白名单机制来控制dubbo接口的访问。
现在以许可ip127.0.0.1访问接口fundRecordTemplateFacade为例演示。
扩展Filter
首先,我们需要实现com.alibaba.dubbo.rpc.Filter接口:
@Activate(group = { Constants.CONSUMER, Constants.PROVIDER })
public class FacadeAccessFilter implements Filter {
private FacadeAccessConfig facadeAccessConfig;
public FacadeAccessConfig getFacadeAccessConfig() {
return facadeAccessConfig;
}
// 通过setter方式注入白名单配置文件
public void setFacadeAccessConfig(FacadeAccessConfig facadeAccessConfig) {
this.facadeAccessConfig = facadeAccessConfig;
}
@Override
public Result invoke(Invoker<?> invoker, Invocation invocation) throws RpcException {
Result result = null;
// 获取调用的接口名
String reqFacade = invoker.getInterface().getSimpleName();
try {
// 尝试在白名单配置文件里查找定义的接口,如果找不到则catch住异常、并许可访问。
Method method;
try {
method = facadeAccessConfig.getClass().getDeclaredMethod(editMethodName(reqFacade));
} catch (NoSuchMethodException e) {
// 无特殊限制,则许可访问
result = invoker.invoke(invocation);
return result;
}
// 走到这里,说明白名单配置文件配了对该facade的访问限制
// 获取remoteAddress:进行访问的应用,格式ip:port
String remoteAddress = RpcContext.getContext().getRemoteAddressString();
// 只取ip
String remoteIp = remoteAddress.split(":")[0];
// 获取licensinedApplications:许可的应用列表
String licensinedApplications = (String) method.invoke(facadeAccessConfig);
if (StringUtils.isNotEmpty(licensinedApplications) && StringUtils.isNotEmpty(remoteIp) && licensinedApplications.contains(remoteIp)) {
// 权限许可、进行访问
Help.log_info(getClass(), " remoteAddress" + remoteAddress + "访问接口" + reqFacade);
result = invoker.invoke(invocation);
return result;
} else {
// 权限不许可、退出访问
Help.log_info(getClass(), " remoteAddress" + remoteAddress + "无权访问接口" + reqFacade);
result = new RpcResult("remoteAddress" + remoteAddress + "无权访问接口" + reqFacade);
return result;
}
} catch (SecurityException e) {
Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e);
} catch (IllegalAccessException e) {
Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e);
} catch (IllegalArgumentException e) {
Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e);
} catch (InvocationTargetException e) {
Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e);
}
return result;
}
private String editMethodName(String fieldName) {
return "get" + fieldName.substring(0, 1).toUpperCase() + fieldName.substring(1, fieldName.length());
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
配置文件
-
在resources目录下添加纯文本文件META-INF/dubbo/com.alibaba.dubbo.rpc.Filter,内容如下:
-
修改配置文件dubbo-common.xml,在dubbo:provider属性中添加配置的filter,内容如下:
-
扩展Filter时,我们是通过setter方法将访问白名单FacadeAccessConfig注册到FacadeAccessFilter类中的,那么在配置文件(譬如:applicationContext.xml)里还需要对bean实例化。
<!-- 将facade访问白名单注册到FacadeAccessFilter类中 -->
<bean id="facadeAccessFilter" class="com.roger.account.provider.filter.FacadeAccessFilter">
<property name="facadeAccessConfig" ref="facadeAccessConfig" />
</bean>
<bean id="facadeAccessConfig" class="com.roger.account.provider.filter.FacadeAccessConfig" />
- 1
- 2
- 3
- 4
- 5
访问白名单文件
我们看一下白名单文件的设计格式。本意希望能配置成”接口名=调用接口的应用名”,因为部署应用的ip变化可能性远高于应用本身的名称修改。但是在Invoker和Invocation对象中找不到客户端的应用名,无奈之下,就设计成了”接口名=调用接口的ip”。
下面是FacadeAccessConfig类,定义的私有属性都是需要控制权限的dubbo接口名,getter方法从配置平台disconf上找到对应配置文件的对应属性值。
@Component(value = "facadeAccessConfig")
@DisconfFile(filename = "facadeAccessConfig.properties")
public class FacadeAccessConfig {
// 定义可以访问fundRecordTemplateFacade的应用
private String fundRecordTemplateFacade;
@DisconfFileItem(associateField = "fundRecordTemplateFacade", name = "fundRecordTemplateFacade")
public String getFundRecordTemplateFacade() {
return fundRecordTemplateFacade;
}
public void setFundRecordTemplateFacade(String fundRecordTemplateFacade) {
this.fundRecordTemplateFacade = fundRecordTemplateFacade;
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
这样,对于已经配置的一个接口,新增可访问的应用只需要添加ip。对于一个新配置的接口,只需要在配置文件facadeAccessConfig.properties里添加”接口名=调用接口的应用名”,然后在FacadeAccessConfig类中新增私有属性即可。