Help us understand the problem. What is going on with this article?

Go + echoで社内からのみアクセスできるAPIを作る

More than 1 year has passed since last update.

背景

社内システムからのみアクセスできる(パブリックからはアクセスできない)APIを作成したい。
今回は、IPアドレスでアクセスできる/できないを切り替えるようにする。

方法

echoにはミドルウェアという概念がある。
https://echo.labstack.com/cookbook/middleware

アクセス元のIPアドレスを見て、アクセス元のIPアドレスが指定したネットワークに属さない場合に403 Forbiddenを返すようなミドルウェアを作る。

ミドルウェア使用例
e.GET("/internal/hoge", internal.Hoge, middleware.InternalAccess()) // 社内からしかアクセスできない
e.GET("/internal/huga", internal.Huga, middleware.InternalAccess()) // 社内からしかアクセスできない

e.GET("/public/piyo", public.Piyo) // 社外からアクセスできる
internal_access.go
package middleware

import (
    "errors"
    "net/http"
    "github.com/labstack/echo"
)

// InternalAccess は社内アクセスのみを許可するためのミドルウェア
func InternalAccess() echo.MiddlewareFunc {
    return func(next echo.HandlerFunc) echo.HandlerFunc {
        return func(c echo.Context) error {
            networkUtil := app.NewNetworkUtil()

            isPrivateAddress := networkUtil.IsPrivateAddress(c.RealIP())

            if !isPrivateAddress {
                return cc.String(http.StatusForbidden, "public access is forbidden.")
            }

            return next(c)
        }
    }
}

network_util.go
package app

import "net"

// NetworkUtil はIPがネットワークに所属するかどうか調べる
type NetworkUtil struct {
    networks []*net.IPNet
}

// NewNetworkUtil はNetworkUtilを作る
func NewNetworkUtil() *NetworkUtil {
    nu := new(NetworkUtil)

    // TODO: ここを設定ファイルに出す
    networks := []string{
        // ローカルマシン
        "10.0.0.0/8",
        "172.16.0.0/12",
        "192.168.0.0/16",
        "127.0.0.0/8",
        "::1/128", // ipv6ローカルホスト用

        // オフィスネットワーク
        "xx.xxx.xxx.xx/32", // current

        // データセンター
        "xxx.xxx.xx.0/24",
        "xxx.xxx.xx.128/25",
        "xxx.xxx.xx.64/26",
    }

    for _, v := range networks {
        _, ipnet, err := net.ParseCIDR(v)
        if err != nil {
            continue
        }

        nu.networks = append(nu.networks, ipnet)
    }

    return nu
}

// IsPrivateAddress はプライベートアドレスかどうかを調べる
func (nu NetworkUtil) IsPrivateAddress(ipString string) bool {
    ip := net.ParseIP(ipString)

    if ip == nil {
        return false
    }

    for _, v := range nu.networks {
        if v.Contains(ip) {
            return true
        }
    }

    return false
}

感想

  • ParseIPとParseCIDRは便利
akrfjmt
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away