API Gateway HTTP API 控制客户端访问 IP 源

前言

在 API Gateway REST API 中我们可以配置 Resource policy 来实现对特定客户端 IP 地址的限制. 然而 HTTP API 并不提供这个功能, 不过我们可以用 Lambda 搓一个 Authorizer 实现等效的功能.

创建 Lambda authorizer

python 复制代码
import json
import os
import ipaddress

def lambda_handler(event, context):
    # Get the client's source IP address
    # Make sure the HTTP is using version 2.0 payload format
    client_ip = event.get('requestContext', {}).get('http', {}).get('sourceIp')

    # Envinronment variable ALLOWED_CIDR seperate CIDRs by comma, example:
    # 1.1.1.0/24,1.1.2.0/24
    allowed_cidr_str = os.environ.get('ALLOWED_CIDR')
    allowed_cidr = [cidr.strip() for cidr in allowed_cidr_str.split(',')]

    is_authorized = False

    if client_ip:
        ip = ipaddress.ip_address(client_ip)
        for cidr_str in allowed_cidr:
            cidr = ipaddress.ip_network(cidr_str, strict=False)
            if ip in cidr:
                is_authorized = True
                print(f'{ip} in {cidr} is {is_authorized}')
                break
            else:
                print(f'{ip} in {cidr} is {is_authorized}')                
    
    return {
            "isAuthorized": is_authorized
        }

代码很简单, 不再赘述. 这里主要需要注意:

  • HTTP API Authorizer Payload format version 需要指定为 2.0, 否则获取客户端 IP 的路径不一样.
  • 保存代码后需要额外创建一个环境变量 ALLOWED_CIDR 用来定义允许的客户端 CIDR 格式地址, 多个中间用 , 分隔.

配置 HTTP API

这里就用之前在文章 https://blog.csdn.net/lpwmm/article/details/149313858 中创建好的 HTTP API 作为例子.

  • 创建 Authorizer

    注意事项
    1. Payload format version 选择 2.0
    2. 删除 Identity sources 因为之前创建的这个 HTTP API 是转发请求给后面的 Flask Web 应用, 并不是单纯的 API 调用, 所以客户端会是浏览器匿名访问, 请求的 Headers 中当然也不会包含 Authorization 这种信息. 如果不删除的话 API Gateway 会直接拒绝请求, 后面的 Lambda authorizer 也不会被调用
    3. 也是因为没有 Identity sources, 所以 Authorizer caching 不能开启.
  • 将 Authorizer 附加到资源定义

    注意, 不同的 Resource 需要分别附加 Authorizer

结尾

因为 HTTP API 配置了 Auto deploy, 因此上面的配置修改会立即生效, 不过也需要等个几秒钟的时间, 再使用浏览器访问 HTTP API Stage URL 进行测试.

对于没有在允许列表中的客户端 IP 地址访问时浏览器会返回:

json 复制代码
{
  "message": "Forbidden"
}

后续只需要维护 Lambda 环境变量 ALLOWED_CIDR 内容就可以方便的管理允许访问 HTTP API 的客户端 IP.

相关推荐
华清远见成都中心20 小时前
物联网通信协议对比:MQTT、CoAP、HTTP到底该怎么选
物联网·网络协议·http
AI 小老六1 天前
Agent 工程化新底座:用 CLI 契约层打通 HTTP 接口与业务能力
网络·人工智能·http·ai·架构
努力努力再努力wz1 天前
【高性能网络库与HTTP Server系列】:基于主从 Reactor 模型实现高性能 C++ 网络库与 HTTP Server
开发语言·网络·数据结构·数据库·c++·网络协议·http
c238561 天前
HTTP 超文本传输协议全解:Web 世界的通信规则
前端·网络协议·http
念何架构之路2 天前
moby-http-api-server
网络·网络协议·http
魔尔助理顾问2 天前
HTTP Response中的CORS Headers
网络·网络协议·http
冰暮流星3 天前
flask之http请求方法
网络·网络协议·http
AlfredZhao4 天前
Linux 主机防火墙如何同时开启 80 和 443?
http·https·firewall
从零开始的代码生活_4 天前
NAT、代理服务与内网穿透详解
linux·服务器·网络·c++·http·智能路由器
折哥的程序人生 · 物流技术专研4 天前
Java面试通关⑦:JavaWeb网络核心全集
网络协议·http·javaweb·校招·前后端交互·java面试·社招