原文链接:Client IP safelist for ASP.NET Core

作者:Damien Bowden and Tom Dykstra

译者:Lamond Lu

本篇博文中展示了如何在ASP.NET Core应用程序中设置IP白名单验证的3种方式。

你可以使用一下3种方式:

  • 使用中间件检查每个请求的远程IP地址
  • 使用Action过滤器为指定的Controller或action方法添加针对远程IP地址的检查
  • 使用IPageFilter为Razor Pages应用添加针对远程IP地址的检查

查看项目源代码

白名单

这里为了简化代码,我们将IP白名单列表放置在配置文件appSettings.json中,每个IP之间使用分号分隔。

正式项目中,可以将这个列表保存在数据库中,便于管理

{

  "AdminSafeList": "127.0.0.1;192.168.1.5;::1",

  "Logging": {

    "IncludeScopes": false,

    "LogLevel": {

      "Default": "Debug",

      "System": "Information",

      "Microsoft": "Information"

    }

  }

}

使用中间件检查每个请求的远程IP地址

这里我们首先添加一个中间件AdminSafeListMiddleware

public class AdminSafeListMiddleware

{

    private readonly RequestDelegate _next;

    private readonly ILogger<AdminSafeListMiddleware> _logger;

    private readonly string _adminSafeList;

    public AdminSafeListMiddleware(

        RequestDelegate next,

        ILogger<AdminSafeListMiddleware> logger,

        string adminSafeList)

    {

        _adminSafeList = adminSafeList;

        _next = next;

        _logger = logger;

    }

    public async Task Invoke(HttpContext context)

    {

        if (context.Request.Method != "GET")

        {

            var remoteIp = context.Connection.RemoteIpAddress;

            _logger.LogDebug($"Request from Remote IP address: {remoteIp}");

            string[] ip = _adminSafeList.Split(';');

            var bytes = remoteIp.GetAddressBytes();

            var badIp = true;

            foreach (var address in ip)

            {

                var testIp = IPAddress.Parse(address);

                if(testIp.GetAddressBytes().SequenceEqual(bytes))

                {

                    badIp = false;

                    break;

                }

            }

            if(badIp)

            {

                _logger.LogInformation(

                    $"Forbidden Request from Remote IP address: {remoteIp}");

                context.Response.StatusCode = (int)HttpStatusCode.Forbidden;

                return;

            }

        }

        await _next.Invoke(context);

    }

}

代码解释:

  • 这里在AdminSafeListMiddleware的构造函数中,我们传入了从配置文件中读取的IP白名单列表
  • 当请求进入当前中间件时,我们使用当前请求上下文的context.Connection.RemoteIpAddress获取到了客户端的IP
  • 如果客户端IP存在于IP白名单列表中,就运行下一个中间件,否则就直接返回401状态码。
  • 这里源代码中,只过滤了非GET请求,如果针对GET请求也需要启动IP白名单,可以去掉这个判断。

然后我们需要在Startup.cs文件的Configure方法中将中间件添加到ASP.NET Core的中间件管道中。

public void Configure(

    IApplicationBuilder app,

    IHostingEnvironment env,

    ILoggerFactory loggerFactory)

{

    loggerFactory.AddNLog();

    app.UseStaticFiles();

    app.UseMiddleware<AdminSafeListMiddleware>(

        Configuration["AdminSafeList"]);

    app.UseMvc();

}

注意: 这里我们在注册中间件的时候,传入了从配置文件中读取的IP白名单。

使用Action过滤器

如果你只是希望为某些特性的Controller或Action方法添加IP白名单,你可以使用Action过滤器。

这里我们首先添加一个新类ClientIdCheckFilter, 它继承自ActionFilterAttribute

 public class ClientIdCheckFilter : ActionFilterAttribute

    {

        private readonly ILogger _logger;

        private readonly string _safelist;

        public ClientIdCheckFilter

            (ILoggerFactory loggerFactory, IConfiguration configuration)

        {

            _logger = loggerFactory.CreateLogger("ClientIdCheckFilter");

            _safelist = configuration["AdminSafeList"];

        }

        public override void OnActionExecuting(ActionExecutingContext context)

        {

            _logger.LogInformation(

                $"Remote IpAddress: {context.HttpContext.Connection.RemoteIpAddress}");

            var remoteIp = context.HttpContext.Connection.RemoteIpAddress;

            _logger.LogDebug($"Request from Remote IP address: {remoteIp}");

            string[] ip = _safelist.Split(';');

            var bytes = remoteIp.GetAddressBytes();

            var badIp = true;

            foreach (var address in ip)

            {

                var testIp = IPAddress.Parse(address);

                if (testIp.GetAddressBytes().SequenceEqual(bytes))

                {

                    badIp = false;

                    break;

                }

            }

            if (badIp)

            {

                _logger.LogInformation(

                    $"Forbidden Request from Remote IP address: {remoteIp}");

                context.Result = new StatusCodeResult(401);

                return;

            }

            base.OnActionExecuting(context);

        }

    }

这里代码逻辑和前面中间的基本一样,主要的区别是

  • 这里我们是从IP白名单,我们是从IConfiguration对象中手动获取的
  • 这里我们复写了OnActionExecuting方法,如果当前客户端 IP存在于白名单中,我们就调用基类OnActionExecuting方法,执行当前Action请求,否则就返回一个401状态码
  • 这里没有针对请求类型的判断,所以指定当前过滤器的Action,GET请求也会受到白名单的限制

第二步,我们需要将这action过滤器添加到服务容器中。

public void ConfigureServices(IServiceCollection services)

{

    services.AddScoped<ClientIdCheckFilter>();

    services.AddMvc(options =>

    {

        options.Filters.Add

            (new ClientIdCheckPageFilter

                (_loggerFactory, Configuration));

    }).SetCompatibilityVersion(CompatibilityVersion.Version_2_1);

}

第三步,我们可以在Action方法声明处添加ServiceFilter特性,传入的参数是我们之前定义好的ClientIdCheckFilter

例:

[ServiceFilter(typeof(ClientIdCheckFilter))]

[HttpGet]

public IEnumerable<string> Get()

使用IPageFilter

Razor Pages应用是ASP.NET Core 2.0中新引入的功能,它是ASP.NET Core Mvc的一个子集。

如果希望Razor Pages应用支持IP白名单,我们需要创建一个新类ClientIdCheckPageFilter, 它实现了IPageFilter接口.

public class ClientIdCheckPageFilter : IPageFilter

    {

        private readonly ILogger _logger;

        private readonly string _safelist;

        public ClientIdCheckPageFilter

            (ILoggerFactory loggerFactory, IConfiguration configuration)

        {

            _logger = loggerFactory.CreateLogger("ClientIdCheckPageFilter");

            _safelist = configuration["AdminSafeList"];

        }

        public void OnPageHandlerExecuting(PageHandlerExecutingContext context)

        {

            _logger.LogInformation(

                $"Remote IpAddress: {context.HttpContext.Connection.RemoteIpAddress}");

            var remoteIp = context.HttpContext.Connection.RemoteIpAddress;

            _logger.LogDebug($"Request from Remote IP address: {remoteIp}");

            string[] ip = _safelist.Split(';');

            var bytes = remoteIp.GetAddressBytes();

            var badIp = true;

            foreach (var address in ip)

            {

                var testIp = IPAddress.Parse(address);

                if (testIp.GetAddressBytes().SequenceEqual(bytes))

                {

                    badIp = false;

                    break;

                }

            }

            if (badIp)

            {

                _logger.LogInformation(

                    $"Forbidden Request from Remote IP address: {remoteIp}");

                context.Result = new StatusCodeResult(401);

                return;

            }

        }

        public void OnPageHandlerExecuted(PageHandlerExecutedContext context)

        {

        }

        public void OnPageHandlerSelected(PageHandlerSelectedContext context)

        {

        }

    }

这里的代码实现和IActionFilter的实现基本一样,唯一的区别是代码放在了OnPageHandlerExecuting的实现中。

第二步,我们还是需要将ClientIdCheckPageFilter添加到MVC的过滤器集合中。

public void ConfigureServices(IServiceCollection services)

{

    services.AddScoped<ClientIdCheckFilter>();

    services.AddMvc(options =>

    {

        options.Filters.Add

            (new ClientIdCheckPageFilter

                (_loggerFactory, Configuration));

    }).SetCompatibilityVersion(CompatibilityVersion.Version_2_1);

}

总结

本篇我们讲解了在ASP.NET Core中启用IP白名单验证的3种方式

  • 使用中间件检查每个请求的远程IP地址
  • 使用Action过滤器为指定的Controller或action方法添加针对远程IP地址的检查
  • 使用IPageFilter为Razor Pages应用添加针对远程IP地址的检查

如何为ASP.NET Core设置客户端IP白名单验证的更多相关文章

  1. ASP.NET Core获取客户端IP地址

    1.在ConfigureServices注入IHttpContextAccessor // ASP.NET Core 2.1的注入方式 //services.AddHttpContextAccesso ...

  2. 如何为ASP.NET Core的强类型配置对象添加验证

    原文: Adding validation to strongly typed configuration objects in ASP.NET Core 作者: Andrew Lock 译文: La ...

  3. ASP.NET Core 设置和初始化数据库 - ASP.NET Core 基础教程 - 简单教程,简单编程

    原文:ASP.NET Core 设置和初始化数据库 - ASP.NET Core 基础教程 - 简单教程,简单编程 ASP.NET Core 设置和初始化数据库 上一章节中我们已经设置和配置好了 EF ...

  4. asp dotnet core 支持客户端上传文件

    本文告诉大家如何在 asp dotnet core 支持客户端上传文件 新建一个 asp dotnet core 程序,创建一个新的类,用于给客户端上传文件的信息 public class Kanaj ...

  5. 创建ASP.NET Core MVC应用程序(6)-添加验证

    创建ASP.NET Core MVC应用程序(6)-添加验证 DRY原则 DRY("Don't Repeat Yourself")是MVC的设计原则之一.ASP.NET MVC鼓励 ...

  6. Asp.net Core, 基于 claims 实现权限验证 - 引导篇

    什么是Claims? 这个直接阅读其他大神些的文章吧,解释得更好. 相关文章阅读: http://www.cnblogs.com/JustRun1983/p/4708176.html http://w ...

  7. Data Lake Analytics IP白名单设置攻略

    当我们成功开通了 DLA 服务之后,第一个最想要做的事情就是登录 DLA 数据库.而登录数据库就需要一个连接串.下面这个页面是我们首次开通 DLA 之后的界面,在这里我们要创建一个服务访问点. 在上面 ...

  8. 微信公众平台三种IP白名单场景及设置问题

    在开发使用微信公众平台时,目前遇到有三处需要配置IP白名单. 1.微信公众平台,“获取access_token”接口新增IP白名单保护,官网:https://mp.weixin.qq.com/cgi- ...

  9. linux ip白名单、防火墙白名单 设置

    http://blog.csdn.net/catoop/article/details/50476099 登录信息在 /var/log/secure linux ip白名单 配置文件:/etc/hos ...

随机推荐

  1. 学会这15点,让你分分钟拿下Redis数据库

    1.Redis简介 REmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统.Redis是一个开源的使用ANSI ...

  2. token.go

    package sego // 字串类型,可以用来表达 //    1. 一个字元,比如"中"又如"国", 英文的一个字元是一个词 //    2. 一个分词, ...

  3. 终于将 SQL Server 成功迁移至 MySQL8.0 啦!!!

    之前一直使用 SQL Server 作为主数据库而不是 MySQL ,原因之一是单机 SQL Server 性能比 MySQL 强很多,另一个原因是之前客户的系统管理员大多只有 SQL Server ...

  4. bzoj 2588 树上主席树

    主席树上树,对于每个节点,继承其父亲的,最后跑f[x]+f[y]-f[lca]-f[fa[lca]] 去重竟然要减一,我竟然不知道?? #include<cstdio> #include& ...

  5. privoxy自动请求转发到多个网络

    有些时候我们需要通过不同的代理访问不同资源,比如某些ip或域名走本地网络,某些ip或域名走不可描述的代理等.当然这只是举个栗子! 我要解决的问题是:我的内网机器没有internet访问权限,但是我的应 ...

  6. appium 出现报错“A new session could not be created. (Original error: Requested a new session but one was in progress)”的解决方式!

    报错点:selenium.common.exceptions.WebDriverException: Message: A new session could not be created. (Ori ...

  7. MYSQL——数据库存储引擎!

    本人安装mysql版本为:mysql  Ver 14.14 Distrib 5.7.18, for Win64 (x86_64),查看mysql的版本号方式:cmd-->mysql --vers ...

  8. Python函数小节

    定义函数时,默认参数必须指向不变的对象 参数为可变对象时,正常调用的时候,结果没有问题,但是当使用默认参数的时候,结果就会和理想的有差距. In [78]: def add(L=[]): ...: L ...

  9. asp.net core系列 58 IS4 基于浏览器的JavaScript客户端应用程序

    一. 概述 本篇探讨使用"基于浏览器的JavaScript客户端应用程序".与上篇实现功能一样,只不过这篇使用JavaScript作为客户端程序,而非core mvc的后台代码Ht ...

  10. SpringBoot进阶教程(二十七)整合Redis之分布式锁

    在之前的一篇文章(<Java分布式锁,搞懂分布式锁实现看这篇文章就对了>),已经介绍过几种java分布式锁,今天来个Redis分布式锁的demo.redis 现在已经成为系统缓存的必备组件 ...