Wie kann ich den Zugang zu bestimmten URLs, die von der Quell-IP-Tomcat?

Ich soll der Zugriff auf bestimmte URLs in meinem Tomcat-webapp.
Nur 3 bekannte IP-Adressen erlaubt sein sollte, den Zugriff auf URLs passen, die einem bestimmten Muster.

z.B. http://example.com:1234/abc/personId

Wie kann ich das erreichen?

InformationsquelleAutor der Frage Randeep | 2012-05-08

  1. 12

    Verwenden, org.apache.catalina.Filter.RemoteAddrFilter und Karte an die URL, die Sie schützen möchten. Sehen http://tomcat.apache.org/tomcat-7.0-doc/config/filter.html#Remote_Address_Filter für Konfiguration-details.

    InformationsquelleAutor der Antwort Mark Thomas

  2. 4

    Können Sie tun, mit dieser in server.xml:

     <Valve
    className="org.apache.catalina.valves.RemoteAddrValve"
        deny="117.40.83.*,122.224.95.*,119.255.28.*,218.8.245.*,218.85.139.*,219.117.197.*,124.89.39.*,58.18.172.*,180.153.225.*"
        />

    (diese sind echte IP-Adressen: Eigentümer, wissen Sie, warum :-|) aber wie Sie sehen können ist es wirklich ein blocker nicht ein enabler. Eine bessere Lösung wäre Apache-HTTPD vor es mit Deny All und Allow From-Anweisungen, mit denen Sie erlauben nur die 3 IP-Adressen, die Sie brauchen, um auf den service zuzugreifen.

    InformationsquelleAutor der Antwort user207421

  3. 3

    Können Sie so etwas wie das sperren von ips, und wenn du hinter proxy:

    <Context path="/manager" docBase="manager" reloadable="true" privileged="true" >
  <Valve className="org.apache.catalina.valves.RemoteIpValve"/>
  <Valve className="org.apache.catalina.valves.RemoteHostValve" allow="<your IP regex>"/>
</Context>

    InformationsquelleAutor der Antwort The-Bat

  4. 0

    Ich würde nicht einschränken des Zugriffs anhand von IP-Adresse, für die der folgenden Gründe:

    • Dabei auf sagen, dass interne Adressen, z.B. 10.0.0.0/24 bedeutet, dass Sie implizit darauf Vertrauen, dass dieser gesamte Bereich. Was passiert, wenn es gefährdet ist?
    • Nicht alle Ihre Kunden können oder in der Lage, um statische IP-Adressen - vorausgesetzt, möchten Sie vielleicht, um zu ermöglichen, dass einige Kunden den Zugang.
    • Kunden hinter gateway-Geräte, wo die Proxys nicht unterstützen x-forwarded-for Header gehen, einfach nur die IP-Adresse des gateway-Geräts; darauf Vertrauen, dass die IP-trusts jeder hinter dem Tor, wieder vorausgesetzt, möchten Sie vielleicht geben einige Kunden zugreifen.

    Statt, wenn Sie ausführen müssen, um ein system, wo einige Anrufe sind nur zugänglich für bestimmte Nutzer, würde ich mit Authentifizierung - SSL-client-side-Zertifikate funktionieren ganz gut für diesen Zweck. Alternativ könnte man so etwas wie OAuth.

    InformationsquelleAutor der Antwort

Schreibe einen Kommentar