一、问题现象
NCC2005 Was 集群,使用 IHS 做分发,通过 IHS 端口登录 NCC 轻量端时会报“非法
登录”的错误,通过 server 具体端口则没问题。
二、问题原因
NCC 有个安全机制,要校验客户端 IP,代码中调用 request.getRemoteAddr 获取
客户端 IP,如果通过 IHS 端口登录 NCC,则 request.getRemoteAddr 返回的是 IPv6 地
址,如果直接通过 server 的具体端口登录 NCC,返回的是 IPv4 地址,NCC 无法解析
IPv6 地址,所以报非法登录的错误。
三、NCC 补丁的修改机制及存在的问题
对 于 这 个 问 题 , 开 发 给 过 一 个 补 丁 , 补 丁 修 改 方 法 是 在 校 验 出
request.getRemoteAddr 地 址不 合 法 时 , 从 request.headers 中的 $WSSN 去获取
IP,此补丁解决了很多项目报非法登录的问题。
实际上这个补丁处理方法是不对的,$WSSN 中获取到的是 host 信息,即应用服务器
的主机信息,NC 代码的本意是要获取客户端 IP,这个客户端 IP 在 NC 后续处理中很多地
方要用到。
如果通过一个域名去登录 NCC,那么$WSSN 中获取到的是主机的域名,NCC 解析不
了这个域名,也会报非法登录的错误。
而 request.getRemoteAddr 返回 IPv6 地址的原因是,这个方法返回的是应用服务
器的 IP 信息,很多服务器启用了 IPv6,所以返回了一个 IPv6 的地址。
综上所述,request 中就没有包含客户端的 IP 信息,所以这个问题无论如何都不能通
过修改代码解决,NCC2005 所有使用集群的项目都存在问题。
四、获取不到客户端 IP 的原因
从 was9.0.0.11 开始,was 的机制做了修改,如果请求是从 proxy server 分发过来
的 , 那 么 was 要 校 验 这 个 proxy server 是 否 可 信 , 只 有 proxy server 在
trustedSensitiveHeaderOrigin 这个属性中定义的可信 proxy server 列表中,才会认为是
可信的,如果不可信,那么 was 不会把客户端 IP 放进 request.headers 中,NCC 代码也就
无法从 request 中获取到客户端 IP。如果不是从 proxy server 分发过来的,则不会有这个
校验。这也就是通过 IHS 端口访问报错,而通过具体端口访问不报错的原因。
可以看出,这个问题不是 IHS 的问题,是 was server 的问题,即使不使用 IHS,使用
其他 proxy server,也会有同样的问题。
五、解决方案
解 决 方 案 是 在 每 个 server 的 Http Channel 中 增 加 一 个 定 制 属 性 ,
trustedSensitiveHeaderOrigin,值为 proxy server 的 IP,如果有多台 proxy server,可
以定义多个 IP,以逗号分开,为了处理简单,这个值也可以写成 *,即任何 proxy server
资源评论
