README
¶
ICal Middleware для Traefik
Плагин для Traefik, который проверяет токены авторизации для доступа к iCal календарям PSU.
Функциональность
- Проверка токенов авторизации через upstream сервер
- Кэширование валидных токенов для уменьшения нагрузки на upstream
- Мультиплексирование идентичных запросов авторизации
- Ограничение скорости запросов (rate limiting) глобально и по IP
- Поддержка белых списков подсетей
- Настраиваемое логирование
Особенности работы
- Upstream сервер всегда возвращает HTTP статус 200 (OK), поэтому валидация токена происходит по содержимому ответа
- Валидный ответ должен начинаться с "BEGIN"
- Токен должен быть длиной 16 символов
Установка
Предварительные требования
- Traefik v2.5 или выше с поддержкой плагинов
- Go 1.16 или выше (для разработки)
Установка плагина
- Добавьте плагин в конфигурацию Traefik:
# Статическая конфигурация Traefik
experimental:
plugins:
icalmiddleware:
moduleName: "github.com/ijo42/icalmiddleware"
version: "v1.0.0"
- Настройте плагин в динамической конфигурации:
# Динамическая конфигурация
http:
middlewares:
ical-auth:
plugin:
icalmiddleware:
headerName: "Authorization"
forwardToken: false
freshness: 3600
allowSubnet: ["192.168.1.0/24", "10.0.0.0/8"]
timeout: 10
globalRateLimit: 100
perIPRateLimit: 10
rateLimitWindow: 60
logLevel: "info"
cleanupInterval: 300
upstreamURL: "https://ical.psu.ru/calendars/"
- Примените middleware к вашему роуту:
http:
routers:
ical:
rule: "Host(`calendar.example.com`)"
service: "ical-service"
middlewares:
- "ical-auth"
Конфигурация
| Параметр | Тип | По умолчанию | Описание |
|---|---|---|---|
headerName |
string | "Authorization" |
Имя заголовка, содержащего токен авторизации |
forwardToken |
bool | false |
Передавать ли токен авторизации upstream сервису |
freshness |
int64 | 3600 |
Время жизни кэша токенов в секундах |
allowSubnet |
[]string | ["0.0.0.0/24"] |
Список подсетей, которым разрешен доступ без авторизации |
timeout |
int64 | 10 |
Таймаут запросов к upstream в секундах |
globalRateLimit |
int | 100 |
Глобальное ограничение запросов в период |
perIPRateLimit |
int | 10 |
Ограничение запросов по IP в период |
rateLimitWindow |
int64 | 60 |
Период для ограничения запросов в секундах |
logLevel |
string | "info" |
Уровень логирования ("error", "info", "debug") |
cleanupInterval |
int64 | 300 |
Интервал очистки устаревших данных в секундах |
upstreamURL |
string | "https://ical.psu.ru/calendars/" |
URL upstream сервера для проверки токенов |
Примеры использования
Базовая конфигурация
http:
middlewares:
ical-auth:
plugin:
icalmiddleware:
headerName: "Authorization"
freshness: 3600
Расширенная конфигурация с белым списком и ограничением скорости
http:
middlewares:
ical-auth:
plugin:
icalmiddleware:
headerName: "Authorization"
forwardToken: false
freshness: 3600
allowSubnet: ["192.168.1.0/24", "10.0.0.0/8"]
timeout: 10
globalRateLimit: 100
perIPRateLimit: 10
rateLimitWindow: 60
logLevel: "debug"
Разработка
Сборка плагина
go build -o icalmiddleware.so -buildmode=plugin ./
Тестирование
go test -v ./...
Лицензия
MIT
Documentation
¶
Index ¶
- Constants
- func New(ctx context.Context, next http.Handler, config *Config, name string) (http.Handler, error)
- func ReadUserIP(r *http.Request) string
- type Cache
- func (c Cache) Add(k string, x bool, d time.Duration) error
- func (c Cache) Delete(k string)
- func (c Cache) DeleteExpired()
- func (c Cache) DeleteLeastRecent(maxSize int)
- func (c Cache) Flush()
- func (c Cache) Get(k string) (bool, bool)
- func (c Cache) GetWithExpiration(k string) (interface{}, time.Time, bool)
- func (c Cache) Has(k string) bool
- func (c Cache) ItemCount() int
- func (c Cache) Items() map[string]Item
- func (c Cache) Load(r io.Reader) error
- func (c Cache) LoadFile(fname string) error
- func (c Cache) OnEvicted(f func(string, bool))
- func (c Cache) Replace(k string, x bool, d time.Duration) error
- func (c Cache) Save(w io.Writer) (err error)
- func (c Cache) SaveFile(fname string) error
- func (c Cache) Set(k string, x bool, d time.Duration)
- func (c Cache) SetDefault(k string, x bool)
- type Config
- type ICalMiddleware
- type Item
- type LogLevel
- type RequestMultiplexer
Constants ¶
View Source
const ( // NoExpiration indicates that the item never expires NoExpiration time.Duration = -1 // DefaultExpiration indicates to use the default expiration time DefaultExpiration time.Duration = 0 )
Variables ¶
This section is empty.
Functions ¶
func ReadUserIP ¶ added in v0.0.2
ReadUserIP extracts the user's IP address from the request
Types ¶
type Cache ¶ added in v0.0.2
type Cache struct {
// contains filtered or unexported fields
}
Cache is the main cache structure
func NewCache ¶ added in v0.0.2
NewCache creates a new cache with the given expiration and cleanup interval
func NewFrom ¶ added in v0.0.2
NewFrom creates a new cache with the given expiration, cleanup interval, and items
func (Cache) Delete ¶ added in v0.0.2
func (c Cache) Delete(k string)
Delete removes an item from the cache
func (Cache) DeleteExpired ¶ added in v0.0.2
func (c Cache) DeleteExpired()
DeleteExpired deletes all expired items from the cache
func (Cache) DeleteLeastRecent ¶ added in v0.0.8
func (c Cache) DeleteLeastRecent(maxSize int)
DeleteLeastRecent removes the least recently accessed items when the cache exceeds the given size
func (Cache) GetWithExpiration ¶ added in v0.0.2
GetWithExpiration retrieves an item and its expiration time
func (Cache) ItemCount ¶ added in v0.0.2
func (c Cache) ItemCount() int
ItemCount returns the number of items in the cache
func (Cache) SetDefault ¶ added in v0.0.2
SetDefault adds an item to the cache with the default expiration
type Config ¶
type Config struct {
ForwardToken bool `json:"forwardToken,omitempty" yaml:"forwardToken,omitempty" toml:"forwardToken,omitempty"`
Freshness int64 `json:"freshness,omitempty" yaml:"freshness,omitempty" toml:"freshness,omitempty"`
HeaderName string `json:"headerName,omitempty" yaml:"headerName,omitempty" toml:"headerName,omitempty"`
AllowSubnet []string `json:"allowSubnet,omitempty" yaml:"allowSubnet,omitempty" toml:"allowSubnet,omitempty"`
Timeout int64 `json:"timeout,omitempty" yaml:"timeout,omitempty" toml:"timeout,omitempty"`
GlobalRateLimit int `json:"globalRateLimit,omitempty" yaml:"globalRateLimit,omitempty" toml:"globalRateLimit,omitempty"`
PerIPRateLimit int `json:"perIPRateLimit,omitempty" yaml:"perIPRateLimit,omitempty" toml:"perIPRateLimit,omitempty"`
RateLimitWindow int64 `json:"rateLimitWindow,omitempty" yaml:"rateLimitWindow,omitempty" toml:"rateLimitWindow,omitempty"`
LogLevel string `json:"logLevel,omitempty" yaml:"logLevel,omitempty" toml:"logLevel,omitempty"`
CleanupInterval int64 `json:"cleanupInterval,omitempty" yaml:"cleanupInterval,omitempty" toml:"cleanupInterval,omitempty"`
UpstreamURL string `json:"upstreamURL,omitempty" yaml:"upstreamURL,omitempty" toml:"upstreamURL,omitempty"`
}
Config represents the middleware configuration
type ICalMiddleware ¶
type ICalMiddleware struct {
// contains filtered or unexported fields
}
ICalMiddleware is the main middleware struct
func (*ICalMiddleware) ServeHTTP ¶
func (plugin *ICalMiddleware) ServeHTTP(rw http.ResponseWriter, req *http.Request)
ServeHTTP handles the HTTP request
type Item ¶ added in v0.0.2
type Item struct {
Object bool // The cached value
Expiration int64 // When the item expires (Unix nano time)
LastAccess time.Time // When the item was last accessed
}
Item represents a cache item
type RequestMultiplexer ¶ added in v0.0.8
type RequestMultiplexer struct {
// contains filtered or unexported fields
}
RequestMultiplexer represents an in-flight request for a specific token
Source Files
Click to show internal directories.
Click to hide internal directories.