Eclipse、Tomcat サーバー、および Struts2 を使用して、Windows アプリケーションを開発しています。ログインに LDAP 認証を使用しています。
特定の人だけが自分のアプリケーションを閲覧できるようにしたいです。つまり、IP 173.12.12.12 を持つ人は閲覧できますが、173.12.12.72 の人は閲覧できません。
どうすればいいですか?
また、誰かが無効になっている ID を入力した場合、アプリケーションはその端末で動作しなくなります。どうすればいいですか?
X-Forwarded-ForWeb アプリケーション内 (データベースなど) で IP アドレスのホワイトリストを処理する場合は、リクエストから HTTP ヘッダーを読み取ることにより、サーバー側でユーザーの IP アドレスを検出できます。
アプリケーション サーバー (この場合は Tomcat) 内で IP アドレス ホワイトリストを処理する場合は、( source ) にRemoteAddrValveを配置する必要があります。context.xml
どちらの方法も機能しますが、 IP スプーフィングの場合、実際の IP の検出に失敗します。悪意のあるユーザーが、たとえばCURLやanonymoXのような Firefox AddOn を使用して自分の IP アドレスを偽装するのは単純です。
システムを保護するために IP アドレスに頼るべきではありません。しかし、それらを使用して、認証された信頼できるユーザーのユーザー エクスペリエンスを向上させることができます。ユーザーが侵入すると、悪意はないと見なし、IP によるデバイスのプロファイリングを開始して、対象となる機能を提供できます。
IP の範囲である場合は、プロパティ ファイルから IP 値を取得し、それに対して検証します。単一の値の場合は、ユーザーに割り当てられたデータベースから値を取得し、それに対して検証します。