您需要做两件事:一是使用中间件处理程序包装您的多路复用器,该中间件处理程序会预处理您的请求并验证 IP。另一个是获取用户的真实 IP,如果您位于防火墙或负载均衡器后面(导致地址始终是 LB 的地址),或者您的用户位于代理后面,这一点很重要。
至于包装您的多路复用器,非常简单:
apiServer := &http.Server{
Addr: "0.0.0.0:8080",
Handler: http.HandlerFunc( func(w http.ResponseWriter, req *http.Request) {
// get the real IP of the user, see below
addr := getRealAddr(req)
// the actual vaildation - replace with whatever you want
if (addr != "1.2.3.4") {
http.Error(w, "Blocked", 401)
return
}
// pass the request to the mux
apiMux.ServeHTTP(w,req)
}),
}
我附上getRealAddr
函数来自一个实际项目,我在其中做了这样的事情:
func getRealAddr(r *http.Request) string {
remoteIP := ""
// the default is the originating ip. but we try to find better options because this is almost
// never the right IP
if parts := strings.Split(r.RemoteAddr, ":"); len(parts) == 2 {
remoteIP = parts[0]
}
// If we have a forwarded-for header, take the address from there
if xff := strings.Trim(r.Header.Get("X-Forwarded-For"), ","); len(xff) > 0 {
addrs := strings.Split(xff, ",")
lastFwd := addrs[len(addrs)-1]
if ip := net.ParseIP(lastFwd); ip != nil {
remoteIP = ip.String()
}
// parse X-Real-Ip header
} else if xri := r.Header.Get("X-Real-Ip"); len(xri) > 0 {
if ip := net.ParseIP(xri); ip != nil {
remoteIP = ip.String()
}
}
return remoteIP
}
至于过滤,它可以基于一组 ip 或 CIDR 范围,当然这取决于您。
如果您感兴趣,上面的代码来自我编写和使用的一个名为 Vertex 的 API 构建工具包,该工具包内置了以下代码:https://github.com/EverythingMe/vertex https://github.com/EverythingMe/vertex