So finden Nutzer-IPs in Spring Security?

Muss ich feststellen, dass diese Benutzer, die angemeldet sind, in unserer Anwendung.

Wir sind mit Spring Security und es muss ein Weg, um herauszufinden, Nutzer-IPs.

Ich denke, dass diese Informationen gespeichert sind, die in Ihren Sitzungen. In Spring Security, die aktuelle Sitzungen gespeichert werden SessionRegistry. Von dieser Klasse kann ich Liste von authentifizierten Benutzer und einige session-Informationen. (Mit getAllPrincipals , getAllSessions und getSessionInformation)

Die Frage ist, wie kann ich Zugang zu aktuellen Nutzer-IPs? Betrachten wir zu geben haben service zu einer bekannten region nur.

Die SessionInformation ist nicht viel Hilfe, da es nicht enthalten viele Informationen.

Sie können feststellen, dass Authentication.getDetails() gibt eine WebAuthenticationDetails - Objekt, das enthält die remote-Adresse.

InformationsquelleAutor Matin Kh | 2012-08-12

ip session spring spring-security

16

Ich denke, dass die Prüfung erreicht werden, indem hasIpAddress http expression

Siehe Abschnitt 15.2 Web-Security-Ausdrücke
```
<http use-expressions="true">
    <intercept-url pattern="/admin*"
        access="hasRole('admin') and hasIpAddress('192.168.1.0/24')"/>
    ...
  </http>
```
Wenn du mehr Flexibilität haben möchten, implementieren Sie Ihre eigene IP-Adresse kontrollieren-service, basierend auf IpAddressMatcher:
```
<bean id="ipCheckService" class="my.IpCheckService">
</bean>

<security:http auto-config="false" access-denied-page="/accessDenied.jsp" 
use-expressions="true">
    <security:intercept-url pattern="/login.jsp"
        access="@ipCheckService.isValid(request)" />
```
bean-Implementierung:
```
public class IpCheckService {
    public boolean isValid(HttpServletRequest request) {
        //This  service is a bean so you can inject other dependencies,
            //for example load the white list of IPs from the database 
        IpAddressMatcher matcher = new IpAddressMatcher("192.168.1.0/24");

    try {
        return matcher.matches(request);
    } catch (UnsupportedOperationException e) { 
        return false;
    }
    }
}
```
update: Sie können versuchen zu Holen Sie sich die aktuellen Nutzer-IP-Adresse auf diese Weise:
```
    public static String getRequestRemoteAddr(){
        HttpServletRequest request = ((ServletRequestAttributes)RequestContextHolder.currentRequestAttributes())
                   .getRequest(); 
        return request.getRemoteAddr();
}
```
update die Informationen über Die Beziehung zwischen IP-Adressen und Sitzungen können nur gesammelt werden, aus den verschiedenen Quellen(wie das hören von AuthenticationSuccessEvent und SessionDestroyedEvent Ereignisse, die Implementierung eines filters oder die Verwendung eines AOP interceptor). Spring Security speichert keine solchen Informationen, denn es ist nutzlos, da die IP-Adresse hat einen Sinn nur, wenn der server-Verarbeitung ist eine ServletRequest.

IP-Adresse kann sich ändern(user kann über einen proxy), so können wir nur audit verschiedene Arten von Veranstaltungen wie Anmeldung mit einigen Anmeldeinformationen, die Zugriff auf einen service von einer anderen IP, oder dabei einige verdächtige Aktivitäten.
- Also ich kann jedem user die IP an. Aber die Sache, die ich Suche, ist eine Liste von IPs, bezogen auf authentifizierte Benutzer oder aktuellen Sitzungen. Gibt es eine Möglichkeit?
- Ich denke, Sie können Sie abonnieren ApplicationEvents-und log-Spring Security-session-events zu verfolgen, aktive Benutzer Beispiel.
- So nah! Aber es ist für die Zerstörung. Ist es möglich, etwas wie dies, wenn-Sitzung erstellt wird?
- static.springsource.org/spring-security/site/docs/3.0.x/apidocs/...
- wir haben Euch zu unterstützen, zu einer bekannten region nur. bitte klären Sie Ihre Frage, weil der verfügbare services sind individuell pro IP, wenn Sie nur wollen, um die Liste der IPs, die Sie implementieren können, ein klassisches HttpSessionListener So dass Sie nicht brauchen, um zu wissen, die Liste der alle aktiven Benutzer zum einschränken des Zugriffs nach ip
- Wahrscheinlich hast du Recht. Ich hatte gehofft, ich könnte einen Weg finden, zu finden, die Nutzer-IPs-über Spring-framework. Scheint, gibt es keine solche Möglichkeit.
- Versuchen zu entscheiden, was Sie suchen, ich denke, es klingt wie Sie wollen "zeigen Sie mir alle authentifizierten Benutzer, als auch für die letzten IP-Adresse, die Sie gekommen"? Oder wäre es "die IP-Adresse an die Zeit, die Sie authentifiziert"? Oder wäre es "beliebige IP-Adresse, die Sie während Ihrer aktuellen Sitzung"? Sie können sehen, die ursprüngliche Frage ist nicht ganz klar 😉 - aber keine Lösung entlang diesen Linien erfordern würde, Sie zu verlängern Spr Sek UserDetails Objekt mit diesem benutzerdefinierten Daten, und dann (wahrscheinlich) speichern Sie es irgendwo hartnäckig.
- Was bedeutet, wenn ich die IP-Adresse des Benutzers, wie dies: 0:0:0:0:0:0:0:1? was offensichtlich falsch ist.
- Es ist ipv6-loopback-Adresse, und es ist durchaus sinnvoll, wenn Sie auf der gleichen Maschine. Sie können deaktivieren Sie ipv6 für JRE über Kommandozeilen-Optionen, wenn die app soll nur im ipv4-Netzwerk.
InformationsquelleAutor Boris Treukhov

Können Sie die IP-Adresse vom WebAuthenticationDetails Objekt, welches man aus Authentifizierung Instanz.

Object details =
    SecurityContextHolder.getContext().getAuthentication().getDetails();
if (details instanceof WebAuthenticationDetails)
    ipAddress = ((WebAuthenticationDetails) details).getRemoteAddress();

InformationsquelleAutor Yaroslav Stavnichiy

Können Sie HttpServletRequest für die erste IP-Adresse des Benutzers. (Entwickler von SpringSecurity tun dies in der gleichen Weise, in Ihrem Ausdruck hasIpAddress(...) in WebSecurityExpressionRoot Klasse).

Zum Beispiel können Sie bekommen HttpServletRequest 2 Möglichkeiten:

1) Mit RequestContextHolder:

HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder
                .getRequestAttributes()).getRequest();

2) Mit autowiring:

@Autowired
private HttpServletRequest request;

Ich habe das von hier.

Dann mit HttpServletRequest können Sie die Ip-Adresse in einer solchen Art und Weise:

String address = request.getRemoteAddr();

Und hier ist, wie die Adressen verglichen werden, in spring security:

/**
 * Takes a specific IP address or a range using the IP/Netmask (e.g. 192.168.1.0/24 or 202.24.0.0/14).
 *
 * @param ipAddress the address or range of addresses from which the request must come.
 * @return true if the IP address of the current request is in the required range.
 */
public boolean hasIpAddress(String ipAddress) {
    return (new IpAddressMatcher(ipAddress).matches(request));
}

Und IpAddressMatcher Klasse:

public final class IpAddressMatcher implements RequestMatcher {
    private final int nMaskBits;
    private final InetAddress requiredAddress;

    /**
     * Takes a specific IP address or a range specified using the
     * IP/Netmask (e.g. 192.168.1.0/24 or 202.24.0.0/14).
     *
     * @param ipAddress the address or range of addresses from which the request must come.
     */
    public IpAddressMatcher(String ipAddress) {

        if (ipAddress.indexOf('/') > 0) {
            String[] addressAndMask = StringUtils.split(ipAddress, "/");
            ipAddress = addressAndMask[0];
            nMaskBits = Integer.parseInt(addressAndMask[1]);
        } else {
            nMaskBits = -1;
        }
        requiredAddress = parseAddress(ipAddress);
    }

    public boolean matches(HttpServletRequest request) {
        return matches(request.getRemoteAddr());
    }

    public boolean matches(String address) {
        InetAddress remoteAddress = parseAddress(address);

        if (!requiredAddress.getClass().equals(remoteAddress.getClass())) {
            return false;
        }

        if (nMaskBits < 0) {
            return remoteAddress.equals(requiredAddress);
        }

        byte[] remAddr = remoteAddress.getAddress();
        byte[] reqAddr = requiredAddress.getAddress();

        int oddBits = nMaskBits % 8;
        int nMaskBytes = nMaskBits/8 + (oddBits == 0 ? 0 : 1);
        byte[] mask = new byte[nMaskBytes];

        Arrays.fill(mask, 0, oddBits == 0 ? mask.length : mask.length - 1, (byte)0xFF);

        if (oddBits != 0) {
            int finalByte = (1 << oddBits) - 1;
            finalByte <<= 8-oddBits;
            mask[mask.length - 1] = (byte) finalByte;
        }

 //      System.out.println("Mask is " + new sun.misc.HexDumpEncoder().encode(mask));

        for (int i=0; i < mask.length; i++) {
            if ((remAddr[i] & mask[i]) != (reqAddr[i] & mask[i])) {
                return false;
            }
        }

        return true;
    }

    private InetAddress parseAddress(String address) {
        try {
            return InetAddress.getByName(address);
        } catch (UnknownHostException e) {
            throw new IllegalArgumentException("Failed to parse address" + address, e);
        }
    }
}

EDIT:

Laut Fragen hier und hier können Sie Benutzer hinzufügen, die IP zu der Sitzung mit benutzerdefinierten filtern. Und dann diese Informationen aus der Sitzung mit Bezug auf den Benutzer, wo es notwendig sein wird. Zum Beispiel Sie können Ihre IP-Informationen wie diese:

public class MonitoringFilter extends GenericFilterBean{
@Override
public void doFilter(ServletRequest request, ServletResponse response,
        FilterChain chain) throws IOException, ServletException {
    HttpServletRequest httpRequest = (HttpServletRequest) request;

    String userIp = httpRequest.getRemoteAddr();

    httpRequest.getSession().setAttribute("userIp", userIp);

    //Add other attributes to session if necessary
}

Schau, es ist gut, aber wie ich sehe, du beziehst SecurityContextHolder enthält aktuelle Benutzer. Also ich bin abzuleiten, dass ich kann jede IP mit Ihrer Methode. Jedoch, ich bin auf der Suche nach einer Möglichkeit, alle Benutzer' IPs. Gibt es eine Möglichkeit?
Ich glaube nicht, dass SpringSecurity irgendwo Informationen über angemeldete Benutzer, die IP.
Eine Idee es zu lösen? stackoverflow.com/questions/11922402/...

InformationsquelleAutor dimas

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.