API Gateway HTTP API 控制客户端访问 IP 源

前言

在 API Gateway REST API 中我们可以配置 Resource policy 来实现对特定客户端 IP 地址的限制. 然而 HTTP API 并不提供这个功能, 不过我们可以用 Lambda 搓一个 Authorizer 实现等效的功能.

创建 Lambda authorizer

python 复制代码
import json
import os
import ipaddress

def lambda_handler(event, context):
    # Get the client's source IP address
    # Make sure the HTTP is using version 2.0 payload format
    client_ip = event.get('requestContext', {}).get('http', {}).get('sourceIp')

    # Envinronment variable ALLOWED_CIDR seperate CIDRs by comma, example:
    # 1.1.1.0/24,1.1.2.0/24
    allowed_cidr_str = os.environ.get('ALLOWED_CIDR')
    allowed_cidr = [cidr.strip() for cidr in allowed_cidr_str.split(',')]

    is_authorized = False

    if client_ip:
        ip = ipaddress.ip_address(client_ip)
        for cidr_str in allowed_cidr:
            cidr = ipaddress.ip_network(cidr_str, strict=False)
            if ip in cidr:
                is_authorized = True
                print(f'{ip} in {cidr} is {is_authorized}')
                break
            else:
                print(f'{ip} in {cidr} is {is_authorized}')                
    
    return {
            "isAuthorized": is_authorized
        }

代码很简单, 不再赘述. 这里主要需要注意:

  • HTTP API Authorizer Payload format version 需要指定为 2.0, 否则获取客户端 IP 的路径不一样.
  • 保存代码后需要额外创建一个环境变量 ALLOWED_CIDR 用来定义允许的客户端 CIDR 格式地址, 多个中间用 , 分隔.

配置 HTTP API

这里就用之前在文章 https://blog.csdn.net/lpwmm/article/details/149313858 中创建好的 HTTP API 作为例子.

  • 创建 Authorizer

    注意事项
    1. Payload format version 选择 2.0
    2. 删除 Identity sources 因为之前创建的这个 HTTP API 是转发请求给后面的 Flask Web 应用, 并不是单纯的 API 调用, 所以客户端会是浏览器匿名访问, 请求的 Headers 中当然也不会包含 Authorization 这种信息. 如果不删除的话 API Gateway 会直接拒绝请求, 后面的 Lambda authorizer 也不会被调用
    3. 也是因为没有 Identity sources, 所以 Authorizer caching 不能开启.
  • 将 Authorizer 附加到资源定义

    注意, 不同的 Resource 需要分别附加 Authorizer

结尾

因为 HTTP API 配置了 Auto deploy, 因此上面的配置修改会立即生效, 不过也需要等个几秒钟的时间, 再使用浏览器访问 HTTP API Stage URL 进行测试.

对于没有在允许列表中的客户端 IP 地址访问时浏览器会返回:

json 复制代码
{
  "message": "Forbidden"
}

后续只需要维护 Lambda 环境变量 ALLOWED_CIDR 内容就可以方便的管理允许访问 HTTP API 的客户端 IP.

相关推荐
melonbo2 小时前
c++工程如何提供http服务接口
c++·http
运维开发王义杰7 小时前
信息安全:GitLab与AWS OIDC集成的深度解析,IAM信任策略中的条件配置
云计算·gitlab·aws
川石课堂软件测试7 小时前
Oracle 数据库:视图与索引
数据库·网络协议·nginx·http·oracle·grafana·prometheus
Craze_rd8 小时前
服务 HTTP 转 SRPC 技术方案
网络·网络协议·http·rpc·golang
卓码软件测评8 小时前
第三方web测评机构:【WEB安全测试中HTTP方法(GET/POST/PUT)的安全风险检测】
前端·网络协议·安全·web安全·http·xss
智能化咨询11 小时前
基于网络原理——HTTP/HTTPS的Web服务搭建与核心技术实践
网络·http·https
web前端神器21 小时前
记录一下node后端写下载https的文件报错,而浏览器却可以下载。
网络协议·http·https
三项超标21 小时前
AI入坑: Trae 通过http调用.net 开发的 mcp server
网络·网络协议·http
绵绵细雨中的乡音1 天前
HTTP 协议详解
网络·网络协议·http
JJ1M81 天前
http问题汇总
网络·网络协议·http