EdgeAdmin/internal/web/helpers/utils.go

package helpers

import (
	"github.com/TeaOSLab/EdgeAdmin/internal/events"
	nodes "github.com/TeaOSLab/EdgeAdmin/internal/rpc"
	"github.com/TeaOSLab/EdgeCommon/pkg/rpc/pb"
	"github.com/TeaOSLab/EdgeCommon/pkg/systemconfigs"
	"github.com/iwind/TeaGo/lists"
	"github.com/iwind/TeaGo/logs"
	"net"
	"sync"
)

var ipCacheMap = map[string]bool{} // ip => bool
var ipCacheLocker = sync.Mutex{}

func init() {
	events.On(events.EventSecurityConfigChanged, func() {
		ipCacheLocker.Lock()
		ipCacheMap = map[string]bool{}
		ipCacheLocker.Unlock()
	})
}

// 检查用户IP并支持缓存
func checkIP(config *systemconfigs.SecurityConfig, ipAddr string) bool {
	ipCacheLocker.Lock()
	ipCache, ok := ipCacheMap[ipAddr]
	if ok && ipCache {
		ipCacheLocker.Unlock()
		return ipCache
	}
	ipCacheLocker.Unlock()

	result := checkIPWithoutCache(config, ipAddr)
	ipCacheLocker.Lock()

	// 缓存的内容不能过多
	if len(ipCacheMap) > 100_000 {
		ipCacheMap = map[string]bool{}
	}

	ipCacheMap[ipAddr] = result
	ipCacheLocker.Unlock()
	return result
}

// 检查用户IP
func checkIPWithoutCache(config *systemconfigs.SecurityConfig, ipAddr string) bool {
	if config == nil {
		return true
	}

	// 本地IP
	ipObj := net.ParseIP(ipAddr)
	if ipObj == nil {
		logs.Println("[USER_MUST_AUTH]parse ip: invalid client address: " + ipAddr)
		return false
	}
	ip := ipObj.To4()
	if ip == nil {
		// IPv6
		ip = ipObj.To16()
		if ip == nil {
			logs.Println("[USER_MUST_AUTH]invalid client address: " + ipAddr)
			return false
		}
	}
	if config.AllowLocal && isLocalIP(ip) {
		return true
	}

	// 检查位置
	if len(config.AllowCountryIds) > 0 || len(config.AllowProvinceIds) > 0 {
		rpc, err := nodes.SharedRPC()
		if err != nil {
			logs.Println("[USER_MUST_AUTH][ERROR]" + err.Error())
			return false
		}
		resp, err := rpc.IPLibraryRPC().LookupIPRegion(rpc.Context(0), &pb.LookupIPRegionRequest{Ip: ipAddr})
		if err != nil {
			logs.Println("[USER_MUST_AUTH][ERROR]" + err.Error())
			return false
		}
		if resp.IpRegion == nil {
			return true
		}
		if len(config.AllowCountryIds) > 0 && !lists.ContainsInt64(config.AllowCountryIds, resp.IpRegion.CountryId) {
			return false
		}
		if len(config.AllowProvinceIds) > 0 && !lists.ContainsInt64(config.AllowProvinceIds, resp.IpRegion.ProvinceId) {
			return false
		}
	}

	// 检查单独允许的IP
	if len(config.AllowIPRanges()) > 0 {
		for _, r := range config.AllowIPRanges() {
			if r.Contains(ipAddr) {
				return true
			}
		}
		return false
	}

	return true
}

// 判断是否为本地IP
func isLocalIP(ip net.IP) bool {
	if ip[0] == 127 ||
		ip[0] == 10 ||
		(ip[0] == 172 && ip[1]&0xf0 == 16) ||
		(ip[0] == 192 && ip[1] == 168) {
		return true
	}

	if ip.String() == "::1" {
		return true
	}
	return false
}
安全设置增加允许访问的国家地区、省份、是否局域网访问 2020-11-20 21:59:12 +08:00			`package helpers`

			`import (`
检查IP是否允许访问时增加缓存 2020-11-20 22:09:26 +08:00			`"github.com/TeaOSLab/EdgeAdmin/internal/events"`
安全设置增加允许访问的国家地区、省份、是否局域网访问 2020-11-20 21:59:12 +08:00			`nodes "github.com/TeaOSLab/EdgeAdmin/internal/rpc"`
			`"github.com/TeaOSLab/EdgeCommon/pkg/rpc/pb"`
[日志审计]增加删除、清理和别的一些设置 2020-12-02 20:31:42 +08:00			`"github.com/TeaOSLab/EdgeCommon/pkg/systemconfigs"`
安全设置增加允许访问的国家地区、省份、是否局域网访问 2020-11-20 21:59:12 +08:00			`"github.com/iwind/TeaGo/lists"`
			`"github.com/iwind/TeaGo/logs"`
			`"net"`
检查IP是否允许访问时增加缓存 2020-11-20 22:09:26 +08:00			`"sync"`
安全设置增加允许访问的国家地区、省份、是否局域网访问 2020-11-20 21:59:12 +08:00			`)`

检查IP是否允许访问时增加缓存 2020-11-20 22:09:26 +08:00			`var ipCacheMap = map[string]bool{} // ip => bool`
			`var ipCacheLocker = sync.Mutex{}`

			`func init() {`
			`events.On(events.EventSecurityConfigChanged, func() {`
			`ipCacheLocker.Lock()`
			`ipCacheMap = map[string]bool{}`
			`ipCacheLocker.Unlock()`
			`})`
			`}`

			`// 检查用户IP并支持缓存`
[日志审计]增加删除、清理和别的一些设置 2020-12-02 20:31:42 +08:00			`func checkIP(config *systemconfigs.SecurityConfig, ipAddr string) bool {`
检查IP是否允许访问时增加缓存 2020-11-20 22:09:26 +08:00			`ipCacheLocker.Lock()`
			`ipCache, ok := ipCacheMap[ipAddr]`
			`if ok && ipCache {`
			`ipCacheLocker.Unlock()`
			`return ipCache`
			`}`
			`ipCacheLocker.Unlock()`

			`result := checkIPWithoutCache(config, ipAddr)`
			`ipCacheLocker.Lock()`

			`// 缓存的内容不能过多`
			`if len(ipCacheMap) > 100_000 {`
			`ipCacheMap = map[string]bool{}`
			`}`

			`ipCacheMap[ipAddr] = result`
			`ipCacheLocker.Unlock()`
			`return result`
			`}`

			`// 检查用户IP`
[日志审计]增加删除、清理和别的一些设置 2020-12-02 20:31:42 +08:00			`func checkIPWithoutCache(config *systemconfigs.SecurityConfig, ipAddr string) bool {`
安全设置增加允许访问的国家地区、省份、是否局域网访问 2020-11-20 21:59:12 +08:00			`if config == nil {`
			`return true`
			`}`

			`// 本地IP`
[SSL证书]免费证书申请增加HTTP认证方式 2020-12-03 18:19:09 +08:00			`ipObj := net.ParseIP(ipAddr)`
			`if ipObj == nil {`
在各个地方支持IPv6 2021-07-20 10:55:25 +08:00			`logs.Println("[USER_MUST_AUTH]parse ip: invalid client address: " + ipAddr)`
[SSL证书]免费证书申请增加HTTP认证方式 2020-12-03 18:19:09 +08:00			`return false`
			`}`
			`ip := ipObj.To4()`
安全设置增加允许访问的国家地区、省份、是否局域网访问 2020-11-20 21:59:12 +08:00			`if ip == nil {`
在各个地方支持IPv6 2021-07-20 10:55:25 +08:00			`// IPv6`
			`ip = ipObj.To16()`
			`if ip == nil {`
			`logs.Println("[USER_MUST_AUTH]invalid client address: " + ipAddr)`
			`return false`
			`}`
安全设置增加允许访问的国家地区、省份、是否局域网访问 2020-11-20 21:59:12 +08:00			`}`
			`if config.AllowLocal && isLocalIP(ip) {`
			`return true`
			`}`

			`// 检查位置`
			`if len(config.AllowCountryIds) > 0 \|\| len(config.AllowProvinceIds) > 0 {`
			`rpc, err := nodes.SharedRPC()`
			`if err != nil {`
			`logs.Println("[USER_MUST_AUTH][ERROR]" + err.Error())`
			`return false`
			`}`
			`resp, err := rpc.IPLibraryRPC().LookupIPRegion(rpc.Context(0), &pb.LookupIPRegionRequest{Ip: ipAddr})`
			`if err != nil {`
			`logs.Println("[USER_MUST_AUTH][ERROR]" + err.Error())`
			`return false`
			`}`
服务日志：增加区域信息 2021-01-13 17:00:09 +08:00			`if resp.IpRegion == nil {`
安全设置增加允许访问的国家地区、省份、是否局域网访问 2020-11-20 21:59:12 +08:00			`return true`
			`}`
服务日志：增加区域信息 2021-01-13 17:00:09 +08:00			`if len(config.AllowCountryIds) > 0 && !lists.ContainsInt64(config.AllowCountryIds, resp.IpRegion.CountryId) {`
安全设置增加允许访问的国家地区、省份、是否局域网访问 2020-11-20 21:59:12 +08:00			`return false`
			`}`
服务日志：增加区域信息 2021-01-13 17:00:09 +08:00			`if len(config.AllowProvinceIds) > 0 && !lists.ContainsInt64(config.AllowProvinceIds, resp.IpRegion.ProvinceId) {`
安全设置增加允许访问的国家地区、省份、是否局域网访问 2020-11-20 21:59:12 +08:00			`return false`
			`}`
			`}`

“系统设置 -- 安全管理”里可以单独添加允许访问的IP 2021-03-28 15:50:28 +08:00			`// 检查单独允许的IP`
			`if len(config.AllowIPRanges()) > 0 {`
			`for _, r := range config.AllowIPRanges() {`
			`if r.Contains(ipAddr) {`
			`return true`
			`}`
			`}`
			`return false`
			`}`

安全设置增加允许访问的国家地区、省份、是否局域网访问 2020-11-20 21:59:12 +08:00			`return true`
			`}`

			`// 判断是否为本地IP`
			`func isLocalIP(ip net.IP) bool {`
在各个地方支持IPv6 2021-07-20 10:55:25 +08:00			`if ip[0] == 127 \|\|`
安全设置增加允许访问的国家地区、省份、是否局域网访问 2020-11-20 21:59:12 +08:00			`ip[0] == 10 \|\|`
			`(ip[0] == 172 && ip[1]&0xf0 == 16) \|\|`
在各个地方支持IPv6 2021-07-20 10:55:25 +08:00			`(ip[0] == 192 && ip[1] == 168) {`
			`return true`
			`}`

			`if ip.String() == "::1" {`
			`return true`
			`}`
			`return false`
安全设置增加允许访问的国家地区、省份、是否局域网访问 2020-11-20 21:59:12 +08:00			`}`