dubbo接口访问控制

微服务背景下，一个web应用都可能不再service依赖，而是通过RPC调用远端服务器上的服务。这些服务里，就包括了一些不能轻易暴露的后台功能接口。暴露出去的dubbo接口注册到某一个zk上后，该dubbo接口对注册到该zk上的消费者都是可见的。对公司内部而言，通常不会有人蓄意去调用一些敏感的接口，但也存在人为误用的可能呀。为此，考虑通过白名单机制来控制dubbo接口的访问。

现在以许可ip127.0.0.1访问接口fundRecordTemplateFacade为例演示。

扩展Filter

首先，我们需要实现com.alibaba.dubbo.rpc.Filter接口：

@Activate(group = { Constants.CONSUMER, Constants.PROVIDER })
public class FacadeAccessFilter implements Filter {

    private FacadeAccessConfig facadeAccessConfig;

    public FacadeAccessConfig getFacadeAccessConfig() {
        return facadeAccessConfig;
    }

    // 通过setter方式注入白名单配置文件
    public void setFacadeAccessConfig(FacadeAccessConfig facadeAccessConfig) {
        this.facadeAccessConfig = facadeAccessConfig;
    }

    @Override
    public Result invoke(Invoker<?> invoker, Invocation invocation) throws RpcException {
        Result result = null;
        // 获取调用的接口名
        String reqFacade = invoker.getInterface().getSimpleName();
        try {
            // 尝试在白名单配置文件里查找定义的接口，如果找不到则catch住异常、并许可访问。
            Method method;
            try {
                method = facadeAccessConfig.getClass().getDeclaredMethod(editMethodName(reqFacade));
            } catch (NoSuchMethodException e) {
                // 无特殊限制，则许可访问
                result = invoker.invoke(invocation);
                return result;
            }
            // 走到这里，说明白名单配置文件配了对该facade的访问限制
            // 获取remoteAddress:进行访问的应用，格式ip:port
            String remoteAddress = RpcContext.getContext().getRemoteAddressString();
            // 只取ip
            String remoteIp = remoteAddress.split(":")[0];
            // 获取licensinedApplications:许可的应用列表
            String licensinedApplications = (String) method.invoke(facadeAccessConfig);
            if (StringUtils.isNotEmpty(licensinedApplications) && StringUtils.isNotEmpty(remoteIp) && licensinedApplications.contains(remoteIp)) {
                // 权限许可、进行访问
                Help.log_info(getClass(), " remoteAddress" + remoteAddress + "访问接口" + reqFacade);
                result = invoker.invoke(invocation);
                return result;
            } else {
                // 权限不许可、退出访问
                Help.log_info(getClass(), " remoteAddress" + remoteAddress + "无权访问接口" + reqFacade);
                result = new RpcResult("remoteAddress" + remoteAddress + "无权访问接口" + reqFacade);
                return result;
            }
        } catch (SecurityException e) {
            Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e);
        } catch (IllegalAccessException e) {
            Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e);
        } catch (IllegalArgumentException e) {
            Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e);
        } catch (InvocationTargetException e) {
            Help.log_error(getClass(), "校验remoteAddress是否有权限访问" + reqFacade + "发生异常", e);
        }
        return result;
    }

    private String editMethodName(String fieldName) {
        return "get" + fieldName.substring(0, 1).toUpperCase() + fieldName.substring(1, fieldName.length());
    }

}

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23
• 24
• 25
• 26
• 27
• 28
• 29
• 30
• 31
• 32
• 33
• 34
• 35
• 36
• 37
• 38
• 39
• 40
• 41
• 42
• 43
• 44
• 45
• 46
• 47
• 48
• 49
• 50
• 51
• 52
• 53
• 54
• 55
• 56
• 57
• 58
• 59
• 60
• 61
• 62
• 63
• 64

配置文件

1. 在resources目录下添加纯文本文件META-INF/dubbo/com.alibaba.dubbo.rpc.Filter，内容如下： 
   

2. 修改配置文件dubbo-common.xml，在dubbo:provider属性中添加配置的filter，内容如下： 
   

3. 扩展Filter时，我们是通过setter方法将访问白名单FacadeAccessConfig注册到FacadeAccessFilter类中的，那么在配置文件（譬如：applicationContext.xml）里还需要对bean实例化。

    <!-- 将facade访问白名单注册到FacadeAccessFilter类中 -->
    <bean id="facadeAccessFilter" class="com.roger.account.provider.filter.FacadeAccessFilter">
        <property name="facadeAccessConfig" ref="facadeAccessConfig" />
    </bean>
    <bean id="facadeAccessConfig" class="com.roger.account.provider.filter.FacadeAccessConfig" />

• 1
• 2
• 3
• 4
• 5

访问白名单文件

我们看一下白名单文件的设计格式。本意希望能配置成”接口名=调用接口的应用名”，因为部署应用的ip变化可能性远高于应用本身的名称修改。但是在Invoker和Invocation对象中找不到客户端的应用名，无奈之下，就设计成了”接口名=调用接口的ip”。 

下面是FacadeAccessConfig类，定义的私有属性都是需要控制权限的dubbo接口名，getter方法从配置平台disconf上找到对应配置文件的对应属性值。

@Component(value = "facadeAccessConfig")
@DisconfFile(filename = "facadeAccessConfig.properties")
public class FacadeAccessConfig {

    // 定义可以访问fundRecordTemplateFacade的应用
    private String fundRecordTemplateFacade;

    @DisconfFileItem(associateField = "fundRecordTemplateFacade", name = "fundRecordTemplateFacade")
    public String getFundRecordTemplateFacade() {
        return fundRecordTemplateFacade;
    }

    public void setFundRecordTemplateFacade(String fundRecordTemplateFacade) {
        this.fundRecordTemplateFacade = fundRecordTemplateFacade;
    }

}

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17

这样，对于已经配置的一个接口，新增可访问的应用只需要添加ip。对于一个新配置的接口，只需要在配置文件facadeAccessConfig.properties里添加”接口名=调用接口的应用名”，然后在FacadeAccessConfig类中新增私有属性即可。