IP白名单校验之包含网络地址和广播地址
her0kings1ey
很久没有打字总结了,趁着今天脑抽了(大雾=='|),刚好总结下最近遇到的一个问题,其实问题本身完全没有复杂性,记录下来主要是总结出一种解决问题的思路吧。那么,我们开始吧。
问题背景
在最近的开发工作中,有一个地方使用了IP白名单的校验,即在白名单范围内的ip才能够对某些资源进行访问或操作。
但是作为一个公司或者团队来说,访问ip不可能只有一个,如果一个个ip来进行记录和配置的话,往往过于麻烦,业界一般都是采用ip段的方式进行配置,即提供一个ip子网段,如:192.168.1.0/24 来表示一个网段的ip。
在ip白名单配置中只需要配置一个网段,认为该网段下面的ip都是合法的ip。
那么问题来了,有些ip白名单的实现里面,认为该网段的网络地址和广播地址不属于该网段的可用地址。比如commons-net下面的SubNetUtils实现,默认的isInRange方法就不包含网络地址和广播地址。
但是呢,在某种情况下,是可能使用网络地址和广播地址作为ip地址的(毕竟这两个地址还是属于那个网段的),那么,怎么办呢?
解决思路
讲真,这是个特别容易解决的问题,主要看你愿不愿意解决。
在解决问题前,先提供一个原有的通过SubNetUtils的ip白名单校验实现:
通过new 一个SubNetUtils,构造参数是子网段字符串,如:192.168.1.0/24
然后getSubInfo().isInRange(xxx)的方式来获取ip是否属于该网段。
简单的实现代码如下
public static void main(String [] args){
SubnetUtils utils = new SubnetUtils("192.168.1.0/24");
System.out.println(utils.getInfo().isInRange("192.168.1.0"));
}
刚刚说到了,这个默认是不包含网络地址和广播地址的,所以会打印false。
怎么解决呢?
一种直接的方式,把网络地址和广播地址单独作为一个ip添加到配置文件中。这样的方式虽然能解决问题,但显然没有道理,不符合我们工程师解决问题的方式。
于是,只要稍微动动脑筋,我们会猜测,这种普遍的需求,作为一个设计良好的底层包,应该会提供相应的实现。
于是我们查看相应的代码。
我们发现有一个属性:
/** Whether the broadcast/network address are included in host count */
private boolean inclusiveHostCount = false;
我们尝试设置这个属性为true,ok,问题bingo!
很多问题只要尝试看下源码实现,其实就立马解决了。从使用这个类实现到解决这个问题,五分钟都不用。
那么延伸一下,如果没有这个属性,我们可以怎么样呢?
一种思路:
通过子网段算出网络地址和广播地址,在代码里isInRange后面手段比较一下即可。
计算的方法也很简单,网络地址就是网段,广播地址则是网络地址加上 232-x -1, x是掩码位数,也就是192.168.1.0/24的位数。
总结
基础知识和耐心真的很重要,今天在cat交流群上看到一个伸手党不用礼貌用语地问来问去,都想呵斥他了。搞技术还是不能太浮躁,自勉自勉。
