shibainu55日記

特定のサーブレットのみをIPでアクセス制限

Tomcat, www

今回は、Tomcatのみで実装されたWebAPサーバを使ったWebシステムにおいて、特定のサーブレットのみにアクセス制御をかけたい、という時の話。前提構成として、クライアントからサーバまでの経路上にL7レベルのフィルタを行う機器がなく、またApache-Tomcat連携構成への変更はせずTomcatのみの構成を変えないことが制約。さて、どうするか。

1つのアプリケーション全体へのアクセス制限であれば、オーソドックスにTomcatのRemoteAddrValveを使えば簡単に実装できる。が、この方式では、アクセス制限は特定のサーブレットだけではなくアプリケーション全体に制限がかかってしまいNG。参考までに、この場合の実装方法はこんな感じ。

${CATALINA_BASE}/conf/[Engine]/[Host]/context.xml

<Context path="/app01/servlet01"

    docBase="/<ファイルシステム上のパス>"
    debug="0" 
    privileged="true" >
<Valve

className="org.apache.catalina.valves.RemoteAddrValve"
allow="192.168.100.*" />
</Context>

次に試した方法は、サーブレットの実行に認証をかける方法。が、この場合には当然ながらBASIC/FORM/DIGEST認証などの認証方式で対話的に認証情報の入力を求められる。実は今回作業対象としているサーブレットは、バッチによる自動実行もしたかったので、ちょっと厳しい。対話型認証のため、インターネットユーザが認証をブルートフォースアタック攻撃(総当り)で突破できる可能性がある点も考慮し、この方法も残念ながらNG。

で、最後に考えたのが、Javaでアクセス制限の機能を自作（既にこの時点でインフラだけで対処することを諦めてますが）する方法。自作機能のソース（IpAddressFilter.java）はこんな感じ。

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
 
public class IpAddressFilter implements Filter {

private FilterConfig config;
private String allow_ip;

/* パスに対してアクセス制限を行う */

public final void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
final String ip_address = ((HttpServletRequest) request).getRemoteAddr();

if (!ip_address.startsWith(allow_ip)) {
((HttpServletResponse) response).sendError(HttpServletResponse.SC_FORBIDDEN);
}
else {
chain.doFilter(request, response);
}
}

public final void init(FilterConfig filterConfig) throws ServletException {
this.config = filterConfig;
this.allow_ip = config.getInitParameter("allowIP");
}

public final void destroy() {
this.config = null;
this.allow_ip = null;
}
}

上記javaファイルをコンパイルし、生成された.classファイルを${CATALINA_BASE}/lib/に配備。あとはアプリのweb.xmlで当該サーブレットのFilter定義に設定すれば解決。以下の例では、docBaseが/usr/local/tomcat/webapps/app01/の場合の設定例。/usr/local/tomcat/webapps/app01/WEB-IN/web.xml

に以下の設定を追記する。

<filter>
    <filter-name>Allow Local Network Access</filter-name>
    <filter-class>IpAddressFilter</filter-class>
    <init-param>
        <param-name>allowIP</param-name>
        <param-value>192.168.100.</param-value>
    </init-param>
</filter>

<filter-mapping>
    <filter-name>Allow Local Network Access</filter-name>
    <servlet-name>TestServlet</servlet-name>
</filter-mapping>

<filter-mapping>
    <filter-name>Allow Local Network Access</filter-name>
    <url-pattern>/servlet01</url-pattern> -->
</filter-mapping>

Permalink | コメント(0) | トラックバック(0) | 19:11