IP白名单安全模块和OKTA令牌验证程序
QMUtilities的Python项目详细描述
q实用程序
它是一个通用的utils库,您可以从中导入各种模块。下面是模块及其安装步骤以及使用说明
模块:1基于配置的IP安全
这是一个简单的安全模块,用于检查是否允许客户端IP访问Flask的后端API。
在每个端点被服务之前,它将检查远程IP,如果它存在于白名单IPS列表中,它存在,它返回响应,否则抛出异常:
HTTPErr: 403 Abort
设置
fromflaskimportFlaskfromsecurity.check_ipimportIPCheck# Initialize the Flask appapp=Flask(__name__)# import IP_list from the config file or declare it hereip_list=<>ipcheck=IPCheck(app,ip_list)
nginx路由
默认情况下,传入请求的头在传递到后端nginx服务器时用localhost ip进行更新。 为了获得客户机/LAN的真正IP,我们需要在nginx配置中进行以下配置:
server {
real_ip_recursive on;
}
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Host $remote_addr;
}
在nginx中取消上述更改后的样本传入请求头dict
{'wsgi.version': (1, 0), 'wsgi.url_scheme': 'http',
'wsgi.input': '<_io.BufferedReader name=5>', 'wsgi.errors': <_io.TextIOWrapper name='<stderr>' mode='w' encoding='UTF-8'>,
'wsgi.multithread': True,
'wsgi.multiprocess': False, 'wsgi.run_once': False,
'werkzeug.server.shutdown': <function WSGIRequestHandler.make_environ.<locals>.shutdown_server at 0x7fba5d1bd598>,
'SERVER_SOFTWARE': 'Werkzeug/0.14.1', 'REQUEST_METHOD': 'GET', 'SCRIPT_NAME': '', 'PATH_INFO': '/', 'QUERY_STRING': '', 'REMOTE_ADDR': '127.0.0.1', 'REMOTE_PORT': 39534, 'SERVER_NAME': '127.0.0.1', 'SERVER_PORT': '8002', 'SERVER_PROTOCOL': 'HTTP/1.0',
'HTTP_HOST': '172.30.1.23',
'HTTP_X_REAL_IP': '10.21.120.11',
'HTTP_X_FORWARDED_FOR': '10.21.120.11',
'HTTP_X_FORWARDED_HOST': '10.21.120.11',
'HTTP_CONNECTION': 'close', 'HTTP_PRAGMA': 'no-cache',
'HTTP_CACHE_CONTROL': 'no-cache', 'HTTP_UPGRADE_INSECURE_REQUESTS': '1',
'HTTP_USER_AGENT': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.157 Safari/537.36',
HTTP_ACCEPT': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3',
'HTTP_ACCEPT_ENCODING': 'gzip, deflate', 'HTTP_ACCEPT_LANGUAGE': 'en-GB,en-US;q=0.9,en;q=0.8', 'werkzeug.request': <Request 'http://10.21.120.11/' [GET]>}
模块2:在验证okta令牌之后允许访问api
在访问任何api之前,将从头中读取okta令牌并对其进行验证