我需要找到记录在我们的应用程序谁的用户。
我们使用Spring的安全,并且必须有找出用户的IP地址的方式。
我认为这些信息存储在他们的会议。 在Spring Security,当前会话保存在的SessionRegistry 。 从这节课我能有身份验证的用户和一些会话信息的列表。 (使用getAllPrincipals , getAllSessions和getSessionInformation )
现在的问题是,我怎么能有机会获得当前用户的IP地址? 考虑到我们必须给服务只有一个已知的区域。
该SessionInformation没有太大的帮助,因为它并不包含太多的信息。
Answer 1:
我认为检查通过使用来实现hasIpAddress HTTP表达
见15.2 Web安全表达式
<http use-expressions="true">
<intercept-url pattern="/admin*"
access="hasRole('admin') and hasIpAddress('192.168.1.0/24')"/>
...
</http>
如果你想要更多的灵活性,可以实现基于IpAddressMatcher自己的IP地址检查服务,:
<bean id="ipCheckService" class="my.IpCheckService">
</bean>
<security:http auto-config="false" access-denied-page="/accessDenied.jsp"
use-expressions="true">
<security:intercept-url pattern="/login.jsp"
access="@ipCheckService.isValid(request)" />
bean的实现:
public class IpCheckService {
public boolean isValid(HttpServletRequest request) {
//This service is a bean so you can inject other dependencies,
//for example load the white list of IPs from the database
IpAddressMatcher matcher = new IpAddressMatcher("192.168.1.0/24");
try {
return matcher.matches(request);
} catch (UnsupportedOperationException e) {
return false;
}
}
}
更新 :你可以尝试获取当前用户的IP是这样的:
public static String getRequestRemoteAddr(){
HttpServletRequest request = ((ServletRequestAttributes)RequestContextHolder.currentRequestAttributes())
.getRequest();
return request.getRemoteAddr();
}
更新有关IP地址和会话之间的关系有关的信息只能从不同的来源(喜欢听AuthenticationSuccessEvent和SessionDestroyedEvent事件,实现一个过滤器或使用AOP拦截器)聚集。 Spring Security没有存储这些信息,因为它是无用的,因为IP地址只有当服务器处理一些意义的ServletRequest 。
IP地址可能会改变(用户可使用代理),所以我们只能审核不同的事件像一些凭据登录,从一个不同的IP访问服务,或做一些可疑活动。
Answer 2:
你可以从IP地址WebAuthenticationDetails对象,可以从以下地址获得验证实例。
Object details =
SecurityContextHolder.getContext().getAuthentication().getDetails();
if (details instanceof WebAuthenticationDetails)
ipAddress = ((WebAuthenticationDetails) details).getRemoteAddress();
Answer 3:
您可以使用HttpServletRequest的用于获取用户的IP地址。 (SpringSecurity的开发者在他们的表达做同样的方式hasIpAddress(...)被放置在WebSecurityExpressionRoot类)。
例如,你可以得到HttpServletRequest的2种方式:
1)使用RequestContextHolder:
HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder
.getRequestAttributes()).getRequest();
2)使用自动装配:
@Autowired
private HttpServletRequest request;
我把这个来自这里 。
然后使用HttpServletRequest的 ,你可以得到这样的方式IP地址:
String address = request.getRemoteAddr();
在这里,如何解决在Spring Security进行比较:
/**
* Takes a specific IP address or a range using the IP/Netmask (e.g. 192.168.1.0/24 or 202.24.0.0/14).
*
* @param ipAddress the address or range of addresses from which the request must come.
* @return true if the IP address of the current request is in the required range.
*/
public boolean hasIpAddress(String ipAddress) {
return (new IpAddressMatcher(ipAddress).matches(request));
}
而IpAddressMatcher类:
public final class IpAddressMatcher implements RequestMatcher {
private final int nMaskBits;
private final InetAddress requiredAddress;
/**
* Takes a specific IP address or a range specified using the
* IP/Netmask (e.g. 192.168.1.0/24 or 202.24.0.0/14).
*
* @param ipAddress the address or range of addresses from which the request must come.
*/
public IpAddressMatcher(String ipAddress) {
if (ipAddress.indexOf('/') > 0) {
String[] addressAndMask = StringUtils.split(ipAddress, "/");
ipAddress = addressAndMask[0];
nMaskBits = Integer.parseInt(addressAndMask[1]);
} else {
nMaskBits = -1;
}
requiredAddress = parseAddress(ipAddress);
}
public boolean matches(HttpServletRequest request) {
return matches(request.getRemoteAddr());
}
public boolean matches(String address) {
InetAddress remoteAddress = parseAddress(address);
if (!requiredAddress.getClass().equals(remoteAddress.getClass())) {
return false;
}
if (nMaskBits < 0) {
return remoteAddress.equals(requiredAddress);
}
byte[] remAddr = remoteAddress.getAddress();
byte[] reqAddr = requiredAddress.getAddress();
int oddBits = nMaskBits % 8;
int nMaskBytes = nMaskBits/8 + (oddBits == 0 ? 0 : 1);
byte[] mask = new byte[nMaskBytes];
Arrays.fill(mask, 0, oddBits == 0 ? mask.length : mask.length - 1, (byte)0xFF);
if (oddBits != 0) {
int finalByte = (1 << oddBits) - 1;
finalByte <<= 8-oddBits;
mask[mask.length - 1] = (byte) finalByte;
}
// System.out.println("Mask is " + new sun.misc.HexDumpEncoder().encode(mask));
for (int i=0; i < mask.length; i++) {
if ((remAddr[i] & mask[i]) != (reqAddr[i] & mask[i])) {
return false;
}
}
return true;
}
private InetAddress parseAddress(String address) {
try {
return InetAddress.getByName(address);
} catch (UnknownHostException e) {
throw new IllegalArgumentException("Failed to parse address" + address, e);
}
}
}
编辑:
根据相关的问题在这里和在这里您可以添加用户的IP使用自定义过滤器会话。 然后得到会话信息与用户那里将是必要的。 例如,你可以把用户的IP信息是这样的:
public class MonitoringFilter extends GenericFilterBean{
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpRequest = (HttpServletRequest) request;
String userIp = httpRequest.getRemoteAddr();
httpRequest.getSession().setAttribute("userIp", userIp);
// Add other attributes to session if necessary
}
文章来源: How to find users' IPs in Spring Security?
