Spring Security WebFlux IP 白名单

2024-01-09

在利用 WebFlux 的最新 Spring Security 中，安全配置的工作方式如下：

SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
http.authorizeExchange().pathMatchers("/**") ....

之前有一个方法 hasIpAddress("xxx.xxx.xxx.xxx") 可以用来配置IP白名单，现在没有了。

如何为新的Spring Security Webflux指定IP白名单？

基于下面 @özkan pakdil 的想法，这是我的代码，但 IP 过滤器不起作用 - 来自不在白名单上的 IP 的请求仍然可以通过。

private Mono<AuthorizationDecision> isAuthorizedIP(Mono<Authentication> authentication, AuthorizationContext context) {
    String ip = context.getExchange().getRequest().getRemoteAddress().getAddress().toString().replace("/", "");

    return authentication.map((a) -> new AuthorizationDecision(
                                        ipWhiteList.contains(ip)));     
}

SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) 抛出异常 {

http.authorizeExchange().anyExchange().access(this::isAuthorizedIP).and().oauth2Login();

返回 http.build();

}

我花了一段时间才弄清楚，但最终，我找到了一种可行的方法。请检查https://github.com/ozkanpakdil/spring-examples/tree/master/webflux-ip-whitelist https://github.com/ozkanpakdil/spring-examples/tree/master/webflux-ip-whitelist并告诉我这是否没有帮助。

只需像这样定义 WebSecurityConfig

import org.springframework.context.annotation.Bean;
import org.springframework.security.authorization.AuthorizationDecision;
import org.springframework.security.config.annotation.web.reactive.EnableWebFluxSecurity;
import org.springframework.security.config.web.server.ServerHttpSecurity;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.server.SecurityWebFilterChain;
import org.springframework.security.web.server.authorization.AuthorizationContext;
import reactor.core.publisher.Mono;

import java.util.ArrayList;

@EnableWebFluxSecurity
public class WebSecurityConfig {

    ArrayList<String> whiteListIp = new ArrayList();

    public WebSecurityConfig() {
        whiteListIp.add("0:0:0:0:0:0:0:1");
        whiteListIp.add("192.168.1.1");
        whiteListIp.add("127.0.0.1");
    }

    @Bean
    public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
        http
                .authorizeExchange()
                .anyExchange()
                .access(this::whiteListIp)
                .and()
                .httpBasic();

        return http.build();
    }

    private Mono<AuthorizationDecision> whiteListIp(Mono<Authentication> authentication, AuthorizationContext context) {
        String ip = context.getExchange().getRequest().getRemoteAddress().getAddress().toString().replace("/", "");
        return authentication.map((a) -> new AuthorizationDecision(a.isAuthenticated()))
                .defaultIfEmpty(new AuthorizationDecision(
                        (whiteListIp.contains(ip)) ? true : false
                ));
    }

}

并将您的 IP 列入白名单。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Spring

springboot

SpringSecurity

Spring Security WebFlux IP 白名单的相关文章

在 Spring Boot 中哪里定义所有环境中通用的属性？

我几乎没有所有环境共有的属性例如spring jpa properties hibernate ejb interceptor 我将其保存在资源目录下的 application properties 中我在基于环境的属性文件中定义了数据
Mono switchIfEmpty() 总是被调用

我有两个方法主要方法 PostMapping login public Mono
Auth0 - 无法检索远程 JWK 设置：读取超时

我正在遭受这一痛苦无法检索远程 JWK 设置读取超时我正在使用 Java 11 和 Spring boot 2 5 3 对于依赖项弹簧安全 oauth2 何塞 5 5 1 spring boot starter oauth2 客户端
Spring 3 JSR-286（portlet）文档

我知道Spring 3支持JSR 286 portlet 版本 2 0 但是我找不到很多这方面的文档任何人都可以分享一些关于此的链接吗谢谢找到几个教程使用 Spring 3 MVC Portlet 的 Hello World htt
使用 Spring Security 滑动过期

我正在使用 Spring Security 我注意到当用户登录时身份验证 cookie 的有效期约为一天它似乎并没有刷新这个过期日期 cookie 在一天后过期即使在当天结束前 5 分钟我已经通过安全 URL 向服务器发出了请求
找不到元素“ehcache”的声明

我正在我的 Web 应用程序中实现 url 缓存运行时 ehcache xml 文件出现错误我正在使用 spring 2 5 jar 文件 ehcache xml
hibernate session.flush 和 spring @transactional

我在我的应用程序中使用 Spring 和 Hibernate 并使用 Spring Transaction 所以我有一个带注释的服务层 Transaction方法和 DAO 层具有数据库查询方法 Transactional readOnly
Spring Boot logback.xml 创建 .tmp 文件

我正在尝试保留 Spring Boot 应用程序的日志但是由于生成的日志很大我正在尝试使用 logback xml 将大于 350MB 的文件滚动到压缩文件中我每天可以滚动几 MB 但中途服务开始写入临时文件我已经尝试了 Time
Spring Boot“没有可用消息”错误（状态 = 404），

我正在使用带有嵌入式 Tomcat 的 Spring Boot 当它启动时它会登录到控制台 s w s m m a RequestMappingHandlerMapping 将 home 映射到公共 java lang String co
spring启动时如何加载@Cache？

我正在使用 spring cache 来改进数据库查询其工作原理如下 Bean public CacheManager cacheManager return new ConcurrentMapCacheManager books Cac
无法使用 Mockito 模拟 Spring-Data-JPA 存储库

我正在尝试为服务编写测试但我没有成功地嘲笑repository依赖性其他非存储库依赖项已成功模拟存储库实例始终是实际实现而不是模拟实例我正在使用 Spring Boot 和 Spring Data JPA 来构建应用程序 Mock
Spring MVC - 为什么部署上下文时出现 NoSuchMethodError 异常？

尽管这个项目已经为我工作了一段时间但现在当我尝试在 Tomcat 中部署应用程序上下文时遇到异常 Servlet testapp threw load exception java lang NoSuchMethodError org s
将 SpringBootTest 与 Spring 之前运行的其他测试一起使用时，如何确保 Eclipselink 发生加载时间编织

我正在使用 Spring Rest Docs 为我的 REST 服务生成文档这涉及运行单元严格集成测试这些测试针对由测试启动的实时 Spring Boot 容器运行测试类如下所示 RunWith SpringJUnit4Class
Spring Data、JPA @OneToMany Lazy fetch 在 Spring Boot 中不起作用

I have OneToMany之间的关系FabricRoll and FabricDefect OneToMany cascade CascadeType ALL fetch FetchType LAZY JoinColumn name
我无法将我的 web 应用程序更新到 Spring Boot 2.6.0（2.5.7 可以工作，但 2.6.0 不行）

正如标题中提到的我无法将我的 web 应用程序更新到 Spring Boot 2 6 0 我使用 Spring Boot 2 5 5 编写了我的 web 应用程序一切都运行良好如果我使用这个新标签更新 pom xml 文件
如何将 wsdl 内部架构设置为 Jaxb2Marshaller 以验证我所做的每篇文章？

我正在使用 SOAP Web 服务在调用它之前我必须验证每个 xml 帖子所以我正在使用 The CXF codegen 插件生成POJO树结构第三部分 wsdl xxxx soap service wsdl 一个类实现Web服务网关
Spring @Value 添加验证小于

我使用以下属性值注入我如何向此操作添加小于验证我的意思是我想设置一个验证user maxpassiveday可以说财产价值不得低于 100 Value user maxpassiveday int maxpassiveday 使用Sp
Spring Security OAuth2 JWT 中的 JWE

是否可以将 JSON Web 加密 JWE 与 Spring Security OAuth2 JWT 一起使用现在我有一个追随者JwtAccessTokenConverter Bean public JwtAccessTokenConve
Spring Boot：在映射级别指定端口

Spring Boot 我希望实现以下目标一些 URL 路径映射到一个端口一些映射到另一个端口换句话说我想要这样的东西 public class Controller1 RequestMapping value path1 port
如果所有类不在同一个包中，Spring @autowired 不起作用

我有四个包裹 com spring org Files HomeController java com spring org dao Files SubscriberDao java SubscriberDaoImpl java com s

随机推荐

如何以角度拖动和重新排序内容

我有5个不同的内容我想将其拖动并重新排序在同一行中我如何在角度 2 4 5 或 6 中执行此操作如果有人知道请帮助我执行此操作堆栈闪电战 https stackblitz com edit angular cc9ztn file
如何在C++中随机分配给向量？

我是 C 新手并且不断被告知要使用std vector代替new 我正在尝试实现此功能其中我知道向量的大小并希望随机而不是顺序分配给它然而当运行这个时我的程序终止且没有错误输出所以我很困惑 vector
OpenCV DNN，从tensorflow导入.pb文件断言失败错误：函数“populateNet”中的scaleMat.type() == CV_32FC1

我试图导入一个冻结的并使用tensorflow python tools optimize for inference优化 pb optimized pb 文件使用 cv2 dnn readNetFromTensorflow optimi
匿名聚合中不允许使用构造函数，结构中的字符串

所以我在尝试创建和使用这个结构时遇到了错误使用字符而不是字符串的结构有效但我发现我需要能够存储许多字母使用下面的这个小代码示例后我收到此错误错误成员 std cxx11 string GraphNode c1 在匿名聚合字符串
BlackBerry - Unicode 文本显示

我想在 BlackBerry 设备上的 j2me 应用程序中的 LabelField 中显示一些阿拉伯文本假设设备上安装了阿拉伯字体在本地化资源中如果使用阿拉伯语言环境则所有文本都以 Unicode 序列保存但是如果我明确使用这
在 R 中将不同的预测方法传递给分层时间序列预测？

我有一个分层时间序列其底层序列都表现出间歇性需求使用 Hyndman 的 HTS 包在层次结构内实现最佳组合似乎是有利的使用 Kourentzes 的 MAPA 包进行间歇性需求的多重聚合预测似乎也是有利的本质上我想做类似的事情
编写 html 文件，其中包含在特定工作表和行中打开 Excel 应用程序的链接

我正在编写一个非常简单的 HTML 文件其中包含一些表格我试图获得一个单元格值它基本上是一个链接通过单击链接我想在 Excel 应用程序中的特定工作表和行中打开文件 Notes 视窗环境 HTML由标准浏览器打开该文件存在于本地
如何通过c# mvc函数传递两个参数来调用存储过程

当我需要传递单个参数时我可以轻松完成如下所示 public ProjectsModel GetProjectListBySearch int projectId try using context new Exo ADBEntities
有没有办法从某些 HTML 元素中排除 MathJax 处理？

有没有办法从某些 HTML 元素中排除 MathJax 处理例如如果我知道 a 中没有任何数学 div 有没有办法标记它以便 MathJax 处理器跳过它 div 就在这里使用tex2jax ignoreCSS 类 div class
C# 构造函数有 2 个参数，但声称它没有带有两个参数的构造函数

所以这是我的问题我有一个名为 Login 的类它将用于登录和创建新的登录帐户我创建了一个不带参数的登录构造函数 public Login gloID 0 Username null Password null Note null Ac
逐个字段比较两个对象并显示差异[关闭]

Closed 这个问题正在寻求书籍工具软件库等的推荐不满足堆栈溢出指南 help closed questions 目前不接受答案我想逐个字段比较两个对象即两个数据库行例如Object1 name ABC age 29 emai
关于交易和 msdtc 的混淆

我对事务和 msdtc 如何协同工作有一些基本的困惑我有一个基本的服务器客户端 winforms 应用程序该应用程序使用transactionscope来封装在sql服务器上执行的多个sql命令当我仅在服务器上启用 msdtc 网络
作为“访问网络应用程序的用户”从 Google Apps 脚本提供 JSON

尝试以发出请求的用户身份提供由 Google Apps 脚本发出的 JSON 请求想了一会儿我意识到这是行不通的因为服务脚本需要被授权才能以调用他的用户身份运行所以调用脚本必须添加一些授权信息但它没有我不知道如何添加该信息这实
Electron 窗口无法打开，但不显示任何错误

Context I 看到这个问题 https stackoverflow com questions 52757597 electron app runs without any errors however the window doe
类似的图片搜索软件（如TinEye）

在我们的社区网站之一中我们允许用户上传图像这些图像由我们的版主批准或拒绝为了限制管理员所需的工作我们希望将每张被拒绝的图片记录到某种数据库中并在提交图像以供批准之前在此数据库中进行查找如果类似的图片已被拒绝则上传的图片将不
在VBA中，如何以简单的方式将UTC UNIX时间戳转换为本地时区日期？

据我所知我们可以使用下面的方法将 UNIX 时间戳粗略地转换为 VB 日期 CDate UNIX 时间戳 60 60 24 1 1 1970 但是不考虑时区和日光信息时区并不是什么大问题但我无法获取特定 UNIX 时间戳的夏令时偏差
获取一个月中的第一个或最后一个星期五

我正在尝试编写这样的日历函数 function get date month year week day direction week是一个整数 1 2 3 day 是一天 Sun Mon 或数字以更简单的为准方向有点令人困惑因为它进
如何发送utf-8电子邮件？

请问如何发送utf 8电子邮件 import sys import smtplib import email import re from email mime multipart import MIMEMultipart from ema
Tomcat 7.0.32 +Spring MVC Servlet 3 异步不起作用

我编写了非常简单的控制器来测试 Servlet 3 功能 Autowired ThreadPoolTaskExecutor taskExecutor RequestMapping value name method RequestMetho
Spring Security WebFlux IP 白名单

在利用 WebFlux 的最新 Spring Security 中安全配置的工作方式如下 SecurityWebFilterChain springSecurityFilterChain ServerHttpSecurity http h

Spring Security WebFlux IP 白名单

Spring Security WebFlux IP 白名单 的相关文章

随机推荐

热门标签

Spring Security WebFlux IP 白名单的相关文章