2588fa6a8f
基于 backend-code-audit 审计报告,修复剩余 P0/P1/P2 共 34 项问题: P0 生产 Bug: - 修复 time.Since(time.Now()) 计时逻辑错误 (P0-03) - generateRandomID 改用 crypto/rand 替代固定索引 (P0-04) - IncrementQuotaUsed 重写为 Ent 原子操作消除 TOCTOU 竞态 (P0-05) 安全加固: - gateway/openai handler 错误响应替换为泛化消息,防止内部信息泄露 (P1-14) - usage_log_repo dateFormat 参数改用白名单映射,防止 SQL 注入 (P1-16) - 默认配置安全加固:sslmode=prefer、response_headers=true、mode=release (P1-18/19, P2-15) 性能优化: - gateway handler 循环内 defer 替换为显式 releaseWait 闭包 (P1-02) - group_repo/promo_code_repo Count 前 Clone 查询避免状态污染 (P1-03) - usage_log_repo 四个查询添加 LIMIT 10000 防止 OOM (P1-07) - GetBatchUsageStats 添加时间范围参数,默认最近 30 天 (P1-10) - ip.go CIDR 预编译为包级变量 (P1-11) - BatchUpdateCredentials 重构为先验证后更新 (P1-13) 缓存一致性: - billing_cache 添加 jitteredTTL 防止缓存雪崩 (P2-10) - DeductUserBalance/UpdateSubscriptionUsage 错误传播修复 (P2-12) - UserService.UpdateBalance 成功后异步失效 billingCache (P2-13) 代码质量: - search 截断改为按 rune 处理,支持多字节字符 (P2-01) - TLS Handshake 改为 HandshakeContext 支持 context 取消 (P2-07) - CORS 预检添加 Access-Control-Max-Age: 86400 (P2-16) 测试覆盖: - 新增 user_service_test.go(UpdateBalance 缓存失效 6 个用例) - 新增 batch_update_credentials_test.go(fail-fast + 类型验证 7 个用例) - 新增 response_transformer_test.go、ip_test.go、usage_log_repo_unit_test.go、search_truncate_test.go - 集成测试:IncrementQuotaUsed 并发测试、billing_cache 错误传播测试 - config_test.go 补充 server.mode/sslmode 默认值断言 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
174 lines
4.2 KiB
Go
174 lines
4.2 KiB
Go
// Package ip 提供客户端 IP 地址提取工具。
|
||
package ip
|
||
|
||
import (
|
||
"net"
|
||
"strings"
|
||
|
||
"github.com/gin-gonic/gin"
|
||
)
|
||
|
||
// GetClientIP 从 Gin Context 中提取客户端真实 IP 地址。
|
||
// 按以下优先级检查 Header:
|
||
// 1. CF-Connecting-IP (Cloudflare)
|
||
// 2. X-Real-IP (Nginx)
|
||
// 3. X-Forwarded-For (取第一个非私有 IP)
|
||
// 4. c.ClientIP() (Gin 内置方法)
|
||
func GetClientIP(c *gin.Context) string {
|
||
// 1. Cloudflare
|
||
if ip := c.GetHeader("CF-Connecting-IP"); ip != "" {
|
||
return normalizeIP(ip)
|
||
}
|
||
|
||
// 2. Nginx X-Real-IP
|
||
if ip := c.GetHeader("X-Real-IP"); ip != "" {
|
||
return normalizeIP(ip)
|
||
}
|
||
|
||
// 3. X-Forwarded-For (多个 IP 时取第一个公网 IP)
|
||
if xff := c.GetHeader("X-Forwarded-For"); xff != "" {
|
||
ips := strings.Split(xff, ",")
|
||
for _, ip := range ips {
|
||
ip = strings.TrimSpace(ip)
|
||
if ip != "" && !isPrivateIP(ip) {
|
||
return normalizeIP(ip)
|
||
}
|
||
}
|
||
// 如果都是私有 IP,返回第一个
|
||
if len(ips) > 0 {
|
||
return normalizeIP(strings.TrimSpace(ips[0]))
|
||
}
|
||
}
|
||
|
||
// 4. Gin 内置方法
|
||
return normalizeIP(c.ClientIP())
|
||
}
|
||
|
||
// normalizeIP 规范化 IP 地址,去除端口号和空格。
|
||
func normalizeIP(ip string) string {
|
||
ip = strings.TrimSpace(ip)
|
||
// 移除端口号(如 "192.168.1.1:8080" -> "192.168.1.1")
|
||
if host, _, err := net.SplitHostPort(ip); err == nil {
|
||
return host
|
||
}
|
||
return ip
|
||
}
|
||
|
||
// privateNets 预编译私有 IP CIDR 块,避免每次调用 isPrivateIP 时重复解析
|
||
var privateNets []*net.IPNet
|
||
|
||
func init() {
|
||
for _, cidr := range []string{
|
||
"10.0.0.0/8",
|
||
"172.16.0.0/12",
|
||
"192.168.0.0/16",
|
||
"127.0.0.0/8",
|
||
"::1/128",
|
||
"fc00::/7",
|
||
} {
|
||
_, block, err := net.ParseCIDR(cidr)
|
||
if err != nil {
|
||
panic("invalid CIDR: " + cidr)
|
||
}
|
||
privateNets = append(privateNets, block)
|
||
}
|
||
}
|
||
|
||
// isPrivateIP 检查 IP 是否为私有地址。
|
||
func isPrivateIP(ipStr string) bool {
|
||
ip := net.ParseIP(ipStr)
|
||
if ip == nil {
|
||
return false
|
||
}
|
||
for _, block := range privateNets {
|
||
if block.Contains(ip) {
|
||
return true
|
||
}
|
||
}
|
||
return false
|
||
}
|
||
|
||
// MatchesPattern 检查 IP 是否匹配指定的模式(支持单个 IP 或 CIDR)。
|
||
// pattern 可以是:
|
||
// - 单个 IP: "192.168.1.100"
|
||
// - CIDR 范围: "192.168.1.0/24"
|
||
func MatchesPattern(clientIP, pattern string) bool {
|
||
ip := net.ParseIP(clientIP)
|
||
if ip == nil {
|
||
return false
|
||
}
|
||
|
||
// 尝试解析为 CIDR
|
||
if strings.Contains(pattern, "/") {
|
||
_, cidr, err := net.ParseCIDR(pattern)
|
||
if err != nil {
|
||
return false
|
||
}
|
||
return cidr.Contains(ip)
|
||
}
|
||
|
||
// 作为单个 IP 处理
|
||
patternIP := net.ParseIP(pattern)
|
||
if patternIP == nil {
|
||
return false
|
||
}
|
||
return ip.Equal(patternIP)
|
||
}
|
||
|
||
// MatchesAnyPattern 检查 IP 是否匹配任意一个模式。
|
||
func MatchesAnyPattern(clientIP string, patterns []string) bool {
|
||
for _, pattern := range patterns {
|
||
if MatchesPattern(clientIP, pattern) {
|
||
return true
|
||
}
|
||
}
|
||
return false
|
||
}
|
||
|
||
// CheckIPRestriction 检查 IP 是否被 API Key 的 IP 限制允许。
|
||
// 返回值:(是否允许, 拒绝原因)
|
||
// 逻辑:
|
||
// 1. 先检查黑名单,如果在黑名单中则直接拒绝
|
||
// 2. 如果白名单不为空,IP 必须在白名单中
|
||
// 3. 如果白名单为空,允许访问(除非被黑名单拒绝)
|
||
func CheckIPRestriction(clientIP string, whitelist, blacklist []string) (bool, string) {
|
||
// 规范化 IP
|
||
clientIP = normalizeIP(clientIP)
|
||
if clientIP == "" {
|
||
return false, "access denied"
|
||
}
|
||
|
||
// 1. 检查黑名单
|
||
if len(blacklist) > 0 && MatchesAnyPattern(clientIP, blacklist) {
|
||
return false, "access denied"
|
||
}
|
||
|
||
// 2. 检查白名单(如果设置了白名单,IP 必须在其中)
|
||
if len(whitelist) > 0 && !MatchesAnyPattern(clientIP, whitelist) {
|
||
return false, "access denied"
|
||
}
|
||
|
||
return true, ""
|
||
}
|
||
|
||
// ValidateIPPattern 验证 IP 或 CIDR 格式是否有效。
|
||
func ValidateIPPattern(pattern string) bool {
|
||
if strings.Contains(pattern, "/") {
|
||
_, _, err := net.ParseCIDR(pattern)
|
||
return err == nil
|
||
}
|
||
return net.ParseIP(pattern) != nil
|
||
}
|
||
|
||
// ValidateIPPatterns 验证多个 IP 或 CIDR 格式。
|
||
// 返回无效的模式列表。
|
||
func ValidateIPPatterns(patterns []string) []string {
|
||
var invalid []string
|
||
for _, p := range patterns {
|
||
if !ValidateIPPattern(p) {
|
||
invalid = append(invalid, p)
|
||
}
|
||
}
|
||
return invalid
|
||
}
|