原文链接:Client IP safelist for ASP.NET Core

作者:Damien Bowden and Tom Dykstra

译者:Lamond Lu

本篇博文中展示了如何在ASP.NET Core应用程序中设置IP白名单验证的3种方式。

你可以使用一下3种方式:

  • 使用中间件检查每个请求的远程IP地址
  • 使用Action过滤器为指定的Controller或action方法添加针对远程IP地址的检查
  • 使用IPageFilter为Razor Pages应用添加针对远程IP地址的检查

查看项目源代码

白名单

这里为了简化代码,我们将IP白名单列表放置在配置文件appSettings.json中,每个IP之间使用分号分隔。

正式项目中,可以将这个列表保存在数据库中,便于管理

{

  "AdminSafeList": "127.0.0.1;192.168.1.5;::1",

  "Logging": {

    "IncludeScopes": false,

    "LogLevel": {

      "Default": "Debug",

      "System": "Information",

      "Microsoft": "Information"

    }

  }

}

使用中间件检查每个请求的远程IP地址

这里我们首先添加一个中间件AdminSafeListMiddleware

public class AdminSafeListMiddleware

{

    private readonly RequestDelegate _next;

    private readonly ILogger<AdminSafeListMiddleware> _logger;

    private readonly string _adminSafeList;

    public AdminSafeListMiddleware(

        RequestDelegate next,

        ILogger<AdminSafeListMiddleware> logger,

        string adminSafeList)

    {

        _adminSafeList = adminSafeList;

        _next = next;

        _logger = logger;

    }

    public async Task Invoke(HttpContext context)

    {

        if (context.Request.Method != "GET")

        {

            var remoteIp = context.Connection.RemoteIpAddress;

            _logger.LogDebug($"Request from Remote IP address: {remoteIp}");

            string[] ip = _adminSafeList.Split(';');

            var bytes = remoteIp.GetAddressBytes();

            var badIp = true;

            foreach (var address in ip)

            {

                var testIp = IPAddress.Parse(address);

                if(testIp.GetAddressBytes().SequenceEqual(bytes))

                {

                    badIp = false;

                    break;

                }

            }

            if(badIp)

            {

                _logger.LogInformation(

                    $"Forbidden Request from Remote IP address: {remoteIp}");

                context.Response.StatusCode = (int)HttpStatusCode.Forbidden;

                return;

            }

        }

        await _next.Invoke(context);

    }

}

代码解释:

  • 这里在AdminSafeListMiddleware的构造函数中,我们传入了从配置文件中读取的IP白名单列表
  • 当请求进入当前中间件时,我们使用当前请求上下文的context.Connection.RemoteIpAddress获取到了客户端的IP
  • 如果客户端IP存在于IP白名单列表中,就运行下一个中间件,否则就直接返回401状态码。
  • 这里源代码中,只过滤了非GET请求,如果针对GET请求也需要启动IP白名单,可以去掉这个判断。

然后我们需要在Startup.cs文件的Configure方法中将中间件添加到ASP.NET Core的中间件管道中。

public void Configure(

    IApplicationBuilder app,

    IHostingEnvironment env,

    ILoggerFactory loggerFactory)

{

    loggerFactory.AddNLog();

    app.UseStaticFiles();

    app.UseMiddleware<AdminSafeListMiddleware>(

        Configuration["AdminSafeList"]);

    app.UseMvc();

}

注意: 这里我们在注册中间件的时候,传入了从配置文件中读取的IP白名单。

使用Action过滤器

如果你只是希望为某些特性的Controller或Action方法添加IP白名单,你可以使用Action过滤器。

这里我们首先添加一个新类ClientIdCheckFilter, 它继承自ActionFilterAttribute

 public class ClientIdCheckFilter : ActionFilterAttribute

    {

        private readonly ILogger _logger;

        private readonly string _safelist;

        public ClientIdCheckFilter

            (ILoggerFactory loggerFactory, IConfiguration configuration)

        {

            _logger = loggerFactory.CreateLogger("ClientIdCheckFilter");

            _safelist = configuration["AdminSafeList"];

        }

        public override void OnActionExecuting(ActionExecutingContext context)

        {

            _logger.LogInformation(

                $"Remote IpAddress: {context.HttpContext.Connection.RemoteIpAddress}");

            var remoteIp = context.HttpContext.Connection.RemoteIpAddress;

            _logger.LogDebug($"Request from Remote IP address: {remoteIp}");

            string[] ip = _safelist.Split(';');

            var bytes = remoteIp.GetAddressBytes();

            var badIp = true;

            foreach (var address in ip)

            {

                var testIp = IPAddress.Parse(address);

                if (testIp.GetAddressBytes().SequenceEqual(bytes))

                {

                    badIp = false;

                    break;

                }

            }

            if (badIp)

            {

                _logger.LogInformation(

                    $"Forbidden Request from Remote IP address: {remoteIp}");

                context.Result = new StatusCodeResult(401);

                return;

            }

            base.OnActionExecuting(context);

        }

    }

这里代码逻辑和前面中间的基本一样,主要的区别是

  • 这里我们是从IP白名单,我们是从IConfiguration对象中手动获取的
  • 这里我们复写了OnActionExecuting方法,如果当前客户端 IP存在于白名单中,我们就调用基类OnActionExecuting方法,执行当前Action请求,否则就返回一个401状态码
  • 这里没有针对请求类型的判断,所以指定当前过滤器的Action,GET请求也会受到白名单的限制

第二步,我们需要将这action过滤器添加到服务容器中。

public void ConfigureServices(IServiceCollection services)

{

    services.AddScoped<ClientIdCheckFilter>();

    services.AddMvc(options =>

    {

        options.Filters.Add

            (new ClientIdCheckPageFilter

                (_loggerFactory, Configuration));

    }).SetCompatibilityVersion(CompatibilityVersion.Version_2_1);

}

第三步,我们可以在Action方法声明处添加ServiceFilter特性,传入的参数是我们之前定义好的ClientIdCheckFilter

例:

[ServiceFilter(typeof(ClientIdCheckFilter))]

[HttpGet]

public IEnumerable<string> Get()

使用IPageFilter

Razor Pages应用是ASP.NET Core 2.0中新引入的功能,它是ASP.NET Core Mvc的一个子集。

如果希望Razor Pages应用支持IP白名单,我们需要创建一个新类ClientIdCheckPageFilter, 它实现了IPageFilter接口.

public class ClientIdCheckPageFilter : IPageFilter

    {

        private readonly ILogger _logger;

        private readonly string _safelist;

        public ClientIdCheckPageFilter

            (ILoggerFactory loggerFactory, IConfiguration configuration)

        {

            _logger = loggerFactory.CreateLogger("ClientIdCheckPageFilter");

            _safelist = configuration["AdminSafeList"];

        }

        public void OnPageHandlerExecuting(PageHandlerExecutingContext context)

        {

            _logger.LogInformation(

                $"Remote IpAddress: {context.HttpContext.Connection.RemoteIpAddress}");

            var remoteIp = context.HttpContext.Connection.RemoteIpAddress;

            _logger.LogDebug($"Request from Remote IP address: {remoteIp}");

            string[] ip = _safelist.Split(';');

            var bytes = remoteIp.GetAddressBytes();

            var badIp = true;

            foreach (var address in ip)

            {

                var testIp = IPAddress.Parse(address);

                if (testIp.GetAddressBytes().SequenceEqual(bytes))

                {

                    badIp = false;

                    break;

                }

            }

            if (badIp)

            {

                _logger.LogInformation(

                    $"Forbidden Request from Remote IP address: {remoteIp}");

                context.Result = new StatusCodeResult(401);

                return;

            }

        }

        public void OnPageHandlerExecuted(PageHandlerExecutedContext context)

        {

        }

        public void OnPageHandlerSelected(PageHandlerSelectedContext context)

        {

        }

    }

这里的代码实现和IActionFilter的实现基本一样,唯一的区别是代码放在了OnPageHandlerExecuting的实现中。

第二步,我们还是需要将ClientIdCheckPageFilter添加到MVC的过滤器集合中。

public void ConfigureServices(IServiceCollection services)

{

    services.AddScoped<ClientIdCheckFilter>();

    services.AddMvc(options =>

    {

        options.Filters.Add

            (new ClientIdCheckPageFilter

                (_loggerFactory, Configuration));

    }).SetCompatibilityVersion(CompatibilityVersion.Version_2_1);

}

总结

本篇我们讲解了在ASP.NET Core中启用IP白名单验证的3种方式

  • 使用中间件检查每个请求的远程IP地址
  • 使用Action过滤器为指定的Controller或action方法添加针对远程IP地址的检查
  • 使用IPageFilter为Razor Pages应用添加针对远程IP地址的检查

如何为ASP.NET Core设置客户端IP白名单验证的更多相关文章

  1. ASP.NET Core获取客户端IP地址

    1.在ConfigureServices注入IHttpContextAccessor // ASP.NET Core 2.1的注入方式 //services.AddHttpContextAccesso ...

  2. 如何为ASP.NET Core的强类型配置对象添加验证

    原文: Adding validation to strongly typed configuration objects in ASP.NET Core 作者: Andrew Lock 译文: La ...

  3. ASP.NET Core 设置和初始化数据库 - ASP.NET Core 基础教程 - 简单教程,简单编程

    原文:ASP.NET Core 设置和初始化数据库 - ASP.NET Core 基础教程 - 简单教程,简单编程 ASP.NET Core 设置和初始化数据库 上一章节中我们已经设置和配置好了 EF ...

  4. asp dotnet core 支持客户端上传文件

    本文告诉大家如何在 asp dotnet core 支持客户端上传文件 新建一个 asp dotnet core 程序,创建一个新的类,用于给客户端上传文件的信息 public class Kanaj ...

  5. 创建ASP.NET Core MVC应用程序(6)-添加验证

    创建ASP.NET Core MVC应用程序(6)-添加验证 DRY原则 DRY("Don't Repeat Yourself")是MVC的设计原则之一.ASP.NET MVC鼓励 ...

  6. Asp.net Core, 基于 claims 实现权限验证 - 引导篇

    什么是Claims? 这个直接阅读其他大神些的文章吧,解释得更好. 相关文章阅读: http://www.cnblogs.com/JustRun1983/p/4708176.html http://w ...

  7. Data Lake Analytics IP白名单设置攻略

    当我们成功开通了 DLA 服务之后,第一个最想要做的事情就是登录 DLA 数据库.而登录数据库就需要一个连接串.下面这个页面是我们首次开通 DLA 之后的界面,在这里我们要创建一个服务访问点. 在上面 ...

  8. 微信公众平台三种IP白名单场景及设置问题

    在开发使用微信公众平台时,目前遇到有三处需要配置IP白名单. 1.微信公众平台,“获取access_token”接口新增IP白名单保护,官网:https://mp.weixin.qq.com/cgi- ...

  9. linux ip白名单、防火墙白名单 设置

    http://blog.csdn.net/catoop/article/details/50476099 登录信息在 /var/log/secure linux ip白名单 配置文件:/etc/hos ...

随机推荐

  1. java Socket多线程聊天程序

    参考JAVA 通过 Socket 实现 TCP 编程 参考java Socket多线程聊天程序(适合初学者) 以J2SDK-1.3为例,Socket和ServerSocket类库位于java.net包 ...

  2. Go语言Context(设计及分析)

    context简单概述: Go服务器的每个请求都有自己的goroutine,而有的请求为了提高性能,会经常启动额外的goroutine处理请求,当该请求被取消或超时,该请求上的所有goroutines ...

  3. nsqlookupd.go

    )     }     l.Lock()     l.httpListener = httpListener     l.Unlock()     httpServer := newHTTPServe ...

  4. Python + Appium 获取当前屏幕的截图方法的封装

    使用方法:get_screenshot_as_file(filename),来自于selenium\webdriver\remote\webdiver.py def take_screenShot(s ...

  5. selenium+python,解决selenium弹出新页面,无法定位元素的问题(报错:Unable to locate element:元素)

    1.问题发生描述: 从一个页面进行点击等操作,页面跳转到第二个页面,对第二个页面中的元素,采取任何措施定位都报错,问题报错点如下: 2.出现问题的原因: 窗口句柄还停留在上一个页面,对于当前新弹出的页 ...

  6. 程序设计语言——实践之路 笔记:Beginning

    这本书已经看了不下3遍了,计划在6月写完1,3,6,7,8,9章的笔记. 为什么要写笔记呢,我觉得有这么几个必要: 1.一个概念的首次提出与补充会跨越几个章节,整理在一起有助记忆 2.所有书籍的安排都 ...

  7. knowledge, Experience & Creativity

    In a training session, the trainer asked the audience "knowledge is power, how many of you agre ...

  8. Python和Python解释器

    目录 Python介绍(了解) Python解释器发展史(了解) Python解释器(了解) CPython IPython PyPy Jython IronPython 安装Python解释器(掌握 ...

  9. 一致性 Hash 算法的实际应用

    前言 记得一年前分享过一篇<一致性 Hash 算法分析>,当时只是分析了这个算法的实现原理.解决了什么问题等. 但没有实际实现一个这样的算法,毕竟要加深印象还得自己撸一遍,于是本次就当前的 ...

  10. C#ComboBox控件“设置 DataSource 属性后无法修改项集合”的解决方法

    在使用ComboBox控件时,遇到了重新绑定赋值出问题的情况.正常情况下,对于数据重新赋值的或者绑定数据源的时候,为了防止数据出现问题,都会先清空原来数据,所以就这样写了,但是没有相当恰恰这样写就出现 ...