Asp.Net Core 中如何设置 IP 白名单

咨询区

• MartinM：

我想在一个web站点中实现ip白名单功能，在 MVC 时代我只需要在 web.config 中添加如下配置即可。

<security>
  <ipSecurity allowUnlisted="false" denyAction="NotFound">
    <add allowed="true" ipAddress="XX.XX.XX.XX" subnetMask="255.255.255.0"/>
  </ipSecurity>
</security>

但在 AspNetCore 中使用如上配置时，程序启动就会报错。

Unable to start process The web server request failed with status code 500, internal server error

很显然这个 config 配置是有问题的，请问是否有内置或者第三方的组件来实现这个功能？

回答区

• Ergwun：

Damian Bod 写了一篇文章：https://damienbod.com/2016/12/18/implementing-a-client-white-list-using-asp-net-core-middleware/ 来演示如果通过中间件的方式来实现 ip 白名单功能。

他分别给了一个 全局性中间件 和 actionfilter 两种方式来实现，无论哪种方式都需要在 appsetttings.json 中配置可允许访问的 ip 列表，然后根据这个list来检查客户端的ip是否符合？client ip 可以通过 context.Connection.RemoteIpAddress 来获取。

如果你有更精细化的配置，比如说设置ip段，那你可以通过nuget上的 IPAddressRange 包来实现，它支持了多种格式，如：192.168.0.0/24 和 192.168.0.0/255.255.255.0，包括 CIDR 表达式和 IPv6。

参考下面的例子。

1. appsettings.json:

{
  "IPAddressWhitelistConfiguration": {
    "AuthorizedIPAddresses": [
      "::1", // IPv6 localhost
      "127.0.0.1", // IPv4 localhost
      "192.168.0.0/16", // Local network
      "10.0.0.0/16", // Local network
    ]
  }
}

1. IPWhiteListConfiguration.cs:

namespace My.Web.Configuration
{
    using System.Collections.Generic;

    public class IPWhitelistConfiguration : IIPWhitelistConfiguration
    {
        public IEnumerable<string> AuthorizedIPAddresses { get; set; }
    }
}

1. IIPWhiteListConfiguration.cs:

namespace My.Web.Configuration
{
    using System.Collections.Generic;

    public interface IIPWhitelistConfiguration
    {
        IEnumerable<string> AuthorizedIPAddresses { get; }
    }
}

1. Startup.cs:

public class Startup
{
    // ...
    public void ConfigureServices(IServiceCollection services)
    {
        // ...
        services.Configure<IPWhitelistConfiguration>(
           this.Configuration.GetSection("IPAddressWhitelistConfiguration"));
        services.AddSingleton<IIPWhitelistConfiguration>(
            resolver => resolver.GetRequiredService<IOptions<IPWhitelistConfiguration>>().Value);
        // ...
    }
 }

1. ClientIPAddressFilterAttribute.cs:

namespace My.Web.Filters
{
    using System.Collections.Generic;
    using System.Linq;
    using System.Net;
    using Microsoft.AspNetCore.Mvc;
    using Microsoft.AspNetCore.Mvc.Filters;
    using NetTools;
    using My.Web.Configuration;

    public class ClientIPAddressFilterAttribute : ActionFilterAttribute
    {
        private readonly IEnumerable<IPAddressRange> authorizedRanges;

        public ClientIPAddressFilterAttribute(IIPWhitelistConfiguration configuration)
        {
            this.authorizedRanges = configuration.AuthorizedIPAddresses
                .Select(item => IPAddressRange.Parse(item));
        }

        public override void OnActionExecuting(ActionExecutingContext context)
        {
            var clientIPAddress = context.HttpContext.Connection.RemoteIpAddress;
            if (!this.authorizedRanges.Any(range => range.Contains(clientIPAddress)))
            {
                context.Result = new UnauthorizedResult();
            }
        }
    }
}

点评区

在 website 中设置ip白名单的功能非常常见，nuget上也有很多的开源中间件帮助实现，比如：ClientIpAspNetCoreIIS，我在项目中也有用到白名单的功能，只不过是做到了 nginx 层。