您需要做两件事:一是使用中间件处理程序包装您的多路复用器,该处理程序可以预处理您的请求并验证 IP。另一个是获取用户的真实 IP,如果您在防火墙或负载均衡器后面(导致地址始终是 LB 的地址),或者如果您的用户在代理后面,这一点很重要。
至于包装你的多路复用器,这很简单:
apiServer := &http.Server{
Addr: "0.0.0.0:8080",
Handler: http.HandlerFunc( func(w http.ResponseWriter, req *http.Request) {
// get the real IP of the user, see below
addr := getRealAddr(req)
// the actual vaildation - replace with whatever you want
if (addr != "1.2.3.4") {
http.Error(w, "Blocked", 401)
return
}
// pass the request to the mux
apiMux.ServeHTTP(w,req)
}),
}
我正在附加 getRealAddr 函数,该函数来自一个我在其中执行过类似操作的实际项目:
func getRealAddr(r *http.Request) string {
remoteIP := ""
// the default is the originating ip. but we try to find better options because this is almost
// never the right IP
if parts := strings.Split(r.RemoteAddr, ":"); len(parts) == 2 {
remoteIP = parts[0]
}
// If we have a forwarded-for header, take the address from there
if xff := strings.Trim(r.Header.Get("X-Forwarded-For"), ","); len(xff) > 0 {
addrs := strings.Split(xff, ",")
lastFwd := addrs[len(addrs)-1]
if ip := net.ParseIP(lastFwd); ip != nil {
remoteIP = ip.String()
}
// parse X-Real-Ip header
} else if xri := r.Header.Get("X-Real-Ip"); len(xri) > 0 {
if ip := net.ParseIP(xri); ip != nil {
remoteIP = ip.String()
}
}
return remoteIP
}
至于过滤,它可以基于一组ip,或者CIDR范围,当然这取决于你。
如果您有兴趣,上面的代码来自我编写和使用的 API 构建工具包,名为 Vertex,它内置:https://github.com/EverythingMe/vertex