福州网站建设要找嘉艺网络,网站推广策略成功的案例,汽车之家网页版官网,蝶恋直播免费下载背景#xff1a; 项目初期 和硬件集成#xff0c;实现了些功能服务#xff0c;由于是局域网环境#xff0c;安全问题当时都可以最小化无视。随着对接的服务越来越多#xff0c;部分功能上云#xff0c;此时就需要有一种手段可以控制到其他项目/接口的访问权限。 无疑 反向… 背景 项目初期 和硬件集成实现了些功能服务由于是局域网环境安全问题当时都可以最小化无视。随着对接的服务越来越多部分功能上云此时就需要有一种手段可以控制到其他项目/接口的访问权限。 无疑 反向代理是最轻快的解决办法。 反向代理 集成第三方的服务接口或web监控界面并与项目实现的鉴权方法
依赖 smiley-http-proxy-servlet GitHub链接 2.0 版开始代理切换到jakarta servlet-api!--HTTP 代理 Servlet--dependencygroupIdorg.mitre.dsmiley.httpproxy/groupIdartifactIdsmiley-http-proxy-servlet/artifactIdversion2.0/version/dependencyjavax servlet-api 请选择 dependencygroupIdorg.mitre.dsmiley.httpproxy/groupIdartifactIdsmiley-http-proxy-servlet/artifactIdversion${smiley-http-proxy-servlet.version}/versionclassifierjavax/classifier
/dependency仅仅是代理接口 默认官网示例使用即可参考第二个接口代理。
以Nginx 代理Grafana监控平台为例解决静态资源加载失败、访问鉴权、及websocket连接问题
import org.mitre.dsmiley.httpproxy.ProxyServlet;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.boot.web.servlet.ServletRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.filter.HiddenHttpMethodFilter;/*** 本地代理服务** author Smile*/
Configuration
public class ProxyServletConfig {/*** 代理Grafana 监控平台*/ Beanpublic ServletRegistrationBeanProxyServlet servletRegistrationBean() {ServletRegistrationBeanProxyServlet servletRegistrationBean new ServletRegistrationBean(new ProxyServlet(), /grafana/*);servletRegistrationBean.addInitParameter(ProxyServlet.P_TARGET_URI, http://127.0.0.1:9999);servletRegistrationBean.addInitParameter(ProxyServlet.P_LOG, true);
// 自动处理重定向servletRegistrationBean.addInitParameter(ProxyServlet.P_HANDLEREDIRECTS, false);
// 保持 COOKIES 不变servletRegistrationBean.addInitParameter(ProxyServlet.P_PRESERVECOOKIES, true);
// Set-Cookie 服务器响应标头中保持 cookie 路径不变servletRegistrationBean.addInitParameter(ProxyServlet.P_PRESERVECOOKIEPATH, true);
// 保持 HOST 参数不变servletRegistrationBean.addInitParameter(ProxyServlet.P_PRESERVEHOST, true);return servletRegistrationBean;}/***接口代理*/Beanpublic ServletRegistrationBeanProxyServlet servletRegistration() {ServletRegistrationBeanProxyServlet servletRegistrationBean new ServletRegistrationBean(new ProxyServlet(), /one/*,/two/*,three/*);servletRegistrationBean.addInitParameter(ProxyServlet.P_TARGET_URI, http://localhost:8001/api);servletRegistrationBean.addInitParameter(ProxyServlet.P_LOG, true);return servletRegistrationBean;}/*** 禁用springboot 自带的 HiddenHttpMethodFilter 防止post提交的form数据流被提前消费* p* fix springboot中使用proxyservlet的 bug.* a hrefhttps://github.com/mitre/HTTP-Proxy-Servlet/issues/83bugs/a* a hrefhttps://stackoverflow.com/questions/8522568/why-is-httpservletrequest-inputstream-emptybugs/a** return */Beanpublic FilterRegistrationBeanHiddenHttpMethodFilter disableHiddenHttpMethodFilter() {FilterRegistrationBeanHiddenHttpMethodFilter registrationBean new FilterRegistrationBean();registrationBean.setFilter(new HiddenHttpMethodFilter());registrationBean.setEnabled(false); // 禁用过滤器return registrationBean;}
}
直接访问grafana代理 springboot项目端口8088报错静态资源 路径不正确 加载失败grafana live/ws链接也会失败参考附录。 解决办法 1.修改对应前端项目使其 都通过代理路径。 2.可以新建项目ProxyServlet使用 /*路径匹配规则。 3.如果这两种都不适合那么变动最少的方案使用nginx反向代理到ProxyServlet的代理路径上。这样做会增加一些性能损耗但是换来了前端项目无需更改后端可增加接口鉴权某些时候是值得的。
nginx配置参考 server {listen 8889;server_name localhost;# grafana websocket地址代理location /api/live/ws {proxy_http_version 1.1;proxy_set_header Upgrade $http_upgrade;proxy_set_header Connection Upgrade;proxy_set_header X-real-ip $remote_addr;proxy_set_header X-Forwarded-For $remote_addr;proxy_pass http://127.0.0.1:9999;}location / {#add_header Access-Control-Allow-Origin *;add_header Access-Control-Max-Age 1728000;add_header Access-Control-Allow-Methods POST,GET,OPTIONS,DELETE,PUT,HEAD,PATCH;add_header Access-Control-Allow-Headers satoken,DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type;add_header Access-Control-Allow-Origin $http_origin;client_max_body_size 10m;if ($request_method OPTIONS) {return 204;}# grafana支持配置apikey 免登录访问set $auth Bearer eyJrIjoiN1pKYlk5akFDZWNoMlVSUEN1YllXdm0yd2VYN2RzZFIiLCJuIjoiYWRtaW5rZXkiLCJpZCI6MX0;# apiKey设置到header grafana免密访问proxy_set_header Authorization $auth;proxy_pass http://127.0.0.1:8088/grafana//;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;proxy_connect_timeout 600;proxy_read_timeout 600;}}划重点
springboot 代理的/grafana/* 到 http://127.0.0.1:9999 静态资源的访问失败 404或 错误的返回html首页是因为路径不符合此规则导致代理是失败
proxy_pass http://127.0.0.1:8088/grafana//; 由nginx代理到 // 则问题解决 使 /grafana/* 代理规则生效
其他访问的服务调用 nginx的这个代理
ok. 再看后端 日志 代理已正常
更安全的访问
只需要限制 原服务端口的放行规则如仅本机可访问然后项目增加过滤器自行判断权限。
启动类添加ServletComponentScan扫描WebFilter增加 Filter
import cn.dev33.satoken.stp.StpUtil;
import jakarta.servlet.*;
import jakarta.servlet.annotation.WebFilter;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.core.annotation.Order;import java.io.IOException;
/*** 过滤器** author Smile*/
Order(1)
WebFilter(filterName piceaFilter, urlPatterns /grafana/*)
public class ProxyServletFilter implements Filter {Overridepublic void init(FilterConfig filterConfig) throws ServletException {Filter.super.init(filterConfig);}Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {//自行 实现条件判断即可if (StpUtil.isLogin()) {// 用户已登录继续执行过滤器链filterChain.doFilter(servletRequest, servletResponse);} else {// 用户未登录可以返回错误信息或重定向到登录页面// 例如返回 HTTP 401 未授权状态HttpServletResponse httpResponse (HttpServletResponse) servletResponse;httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);}}Overridepublic void destroy() {Filter.super.destroy();}
}
未登录则
收工~~
附 grafana websocket 可能需要修改custom.ini配置
# allowed_origins is a comma-separated list of origins that can establish connection with Grafana Live.
# If not set then origin will be matched over root_url. Supports wildcard symbol *.allowed_origins*
或
allowed_origins http://127.0.0.1:8889
