在当今复杂多变的网络环境中，保障互联网软件应用的安全至关重要。对于广大互联网软件开发人员而言，如何在 Spring Boot3 中实现白名单访问接口，成为了守护应用安全的关键一环。今天，我们就一同深入探索其中的奥秘。

为什么需要白名单访问接口

在实际的软件开发场景中，并非所有的访问都应被允许。想象一下，你的应用程序犹如一座繁忙的大厦，每天有大量的人员（请求）试图进入。然而，并非每个人都怀有善意，有些可能是心怀不轨的黑客，试图窃取敏感信息或进行恶意攻击。通过设置白名单访问接口，就如同在大厦入口处设置了一道严格的门禁，只有那些在白名单上的 “贵宾”（合法请求）才能顺利进入，从而极大地降低了应用遭受外部攻击的风险。例如，一些企业内部的应用系统，只希望特定的办公网络 IP 地址段能够访问，以确保数据的安全性和业务的稳定性。

Spring Boot3 实现白名单访问接口的多种方式

（一）使用 Spring Security

Spring Security 是 Spring 家族中用于提供安全访问控制解决方案的强大框架。在 Spring Boot3 中借助它来实现白名单访问控制，能为我们提供很多便利。

简单配置单个 IP 的白名单：在 Spring Security 的配置类中，重写configure(HttpSecurity http)方法，使用http.authorizeRequests().antMatchers("/**").access("hasIpAddress('你的IP地址')")来限制访问。不过，这种方式只适合设置单个 IP 的白名单场景。例如，如果你的开发测试环境只有一台固定 IP 的服务器需要访问应用，采用这种配置就较为简便。

针对白名单列表的自定义表达式：当我们面临多个 IP 需要加入白名单时，就需要自定义表达式来实现。首先，定义一个新的表达式，比如创建一个IpWhiteListExpressionRoot类，继承自SecurityExpressionRoot并实现自定义的方法用于判断 IP 是否在白名单列表中。然后在配置类中，通过
ExpressionUrlAuthorizationConfigurer来使用这个自定义表达式。假设我们有一个包含多个 IP 的白名单列表List<String> whiteListIps，可以这样配置：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    private final List<String> whiteListIps;

    public SecurityConfig(List<String> whiteListIps) {
        this.whiteListIps = whiteListIps;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
           .authorizeRequests()
               .antMatchers("/**").access(new CustomIpAccessExpression(whiteListIps))
               .and()
           .csrf().disable();
    }
}

其中CustomIpAccessExpression类实现了SecurityExpression接口，在其getExpression方法中进行 IP 在白名单列表中的判断逻辑。

（二）自定义 Filter

如果不想依赖 Spring Security，或者希望实现更细粒度的控制，编写一个自定义的 Filter 来实现 IP 白名单拦截是个不错的选择。

实现 Filter 接口：创建一个类实现javax.servlet.Filter接口。在doFilter方法中，获取请求的 IP 地址，并与白名单中的 IP 进行比对。例如：

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.List;

public class IpWhiteListFilter implements Filter {
    private final List<String> whiteListIps;

    public IpWhiteListFilter(List<String> whiteListIps) {
        this.whiteListIps = whiteListIps;
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        String clientIp = request.getRemoteAddr();
        if (whiteListIps.contains(clientIp)) {
            filterChain.doFilter(servletRequest, servletResponse);
        } else {
            servletResponse.getWriter().write("Your IP is not in the white list. Access denied.");
        }
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // 初始化操作，例如从配置文件读取白名单IP
    }

    @Override
    public void destroy() {
        // 销毁操作
    }
}

注册 Filter：在 Spring Boot 中，我们可以通过在类上添加@Component注解并配置 Filter 的注册信息，如 URL 模式、优先级等，来自动注册 Filter。比如：

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.List;

@Configuration
public class FilterConfig {
    @Bean
    public FilterRegistrationBean<IpWhiteListFilter> ipWhiteListFilterRegistrationBean(List<String> whiteListIps) {
        FilterRegistrationBean<IpWhiteListFilter> registrationBean = new FilterRegistrationBean<>();
        registrationBean.setFilter(new IpWhiteListFilter(whiteListIps));
        registrationBean.addUrlPatterns("/*");
        registrationBean.setOrder(1);
        return registrationBean;
    }
}

这里addUrlPatterns("/*")表示该 Filter 对所有 URL 路径进行拦截，setOrder(1)设置了 Filter 的执行顺序。

（三）使用 AOP 进行拦截

对于需要对多个 Controller 或方法进行 IP 校验的场景，使用 Spring AOP（面向切面编程）来实现白名单访问控制能让代码结构更加清晰，复用性更高。

定义切面：创建一个切面类，使用@Aspect注解定义，并声明一个切入点表达式来匹配需要拦截的方法。比如：

import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.springframework.stereotype.Component;
import javax.servlet.http.HttpServletRequest;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import java.util.List;

@Aspect
@Component
public class IpWhiteListAspect {
    private final List<String> whiteListIps;

    public IpWhiteListAspect(List<String> whiteListIps) {
        this.whiteListIps = whiteListIps;
    }

    @Around("@annotation(com.example.annotations.RequireWhiteListIp)")
    public Object checkIpWhiteList(ProceedingJoinPoint joinPoint) throws Throwable {
        ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
        HttpServletRequest request = attributes.getRequest();
        String clientIp = request.getRemoteAddr();
        if (whiteListIps.contains(clientIp)) {
            return joinPoint.proceed();
        } else {
            throw new RuntimeException("Your IP is not in the white list. Access denied.");
        }
    }
}

这里@Around("@annotation(
com.example.annotations.RequireWhiteListIp)")表示对标注了RequireWhiteListIp注解的方法进行环绕通知。

编写通知：在切面类中，编写一个环绕通知（Around Advice），在方法执行前后检查请求的 IP 地址，并根据检查结果决定是否继续执行原方法。同时，我们需要创建RequireWhiteListIp注解，用于标注需要进行 IP 白名单校验的方法，例如：

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface RequireWhiteListIp {
}

然后在 Controller 的方法上使用该注解，如：

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
import com.example.annotations.RequireWhiteListIp;

@RestController
public class ExampleController {
    @GetMapping("/protected")
    @RequireWhiteListIp
    public String protectedResource() {
        return "This is a protected resource accessible only to white - listed IPs.";
    }
}

IP 地址的获取与注意事项

在上述实现白名单访问接口的过程中，准确获取客户端的 IP 地址是关键。在 Web 应用中，我们通常可以通过HttpServletRequest对象的getRemoteAddr()方法获取客户端的 IP 地址。然而，需要特别注意的是，当应用部署在反向代理（如 Nginx）后面时，getRemoteAddr()方法可能无法获取到真实的客户端 IP 地址。此时，我们可能需要从 HTTP 头中获取，例如从X-Forwarded-For头中获取。以下是一个获取真实 IP 地址的示例代码：

public static String getClientIp(HttpServletRequest request) {
    String xfHeader = request.getHeader("X - Forwarded - For");
    if (xfHeader != null) {
        return xfHeader.split(",")[0];
    }
    return request.getRemoteAddr();
}

此外，在设置白名单 IP 时，要确保 IP 地址的准确性和完整性。对于 IP 段的设置，要正确处理 CIDR 表示法等相关规则，避免因设置不当导致安全漏洞或合法请求被误拒。

总结

通过本文的详细介绍，我们了解到在 Spring Boot3 中实现白名单访问接口可以通过 Spring Security、自定义 Filter 或 AOP 等多种方式来达成。每种方式都有其独特的优势和适用场景，开发者们可以根据项目的具体需求、架构设计以及对安全控制粒度的要求，选择最为合适的实现方案。

随着网络安全形势的日益严峻，未来我们还需要不断关注新的安全威胁和防护技术。在实现白名单访问接口的基础上，进一步结合其他安全措施，如 HTTPS 加密通信、HSTS（HTTP 严格传输安全）策略、CSRF（跨站请求伪造）防护等，构建一个全方位、多层次的安全防护体系，为我们的互联网软件应用保驾护航。希望广大开发者能够将这些知识运用到实际项目中，共同为打造安全可靠的软件环境贡献力量。