Salvo框架中实现TCP层IP过滤的技术方案

在Web服务开发中，IP白名单过滤是一个常见的安全需求，特别是在需要限制访问来源的场景下。Salvo作为一个Rust语言的Web框架，提供了灵活的扩展机制来实现这一功能。本文将深入探讨在Salvo框架中实现TCP层IP过滤的几种技术方案。

需求背景

IP过滤通常需要在两个层面实现：

1. TCP连接层：在TCP握手完成后立即进行过滤
2. HTTP请求层：在HTTP请求解析完成后进行过滤

TCP层的过滤效率更高，能更早地拒绝非法连接，减少资源消耗。Salvo框架提供了多种方式来实现这一功能。

方案一：使用Guard机制

Salvo的Guard机制可以在请求处理流程的早期进行拦截，非常适合实现IP过滤：

#[handler]
async fn handle(
    req: &mut Request,
    depot: &mut Depot,
    res: &mut Response,
    ctrl: &mut FlowCtrl,
) {
    // 业务处理逻辑
}

Router::new()
    .hoop(ip_guard)
    .push(Router::with_path("api").get(handle));

async fn ip_guard(req: &mut Request, depot: &mut Depot, res: &mut Response, ctrl: &mut FlowCtrl) {
    let remote_addr = req.remote_addr().unwrap();
    if !ALLOW_LIST.contains(&remote_addr.ip()) {
        ctrl.skip_rest();
        res.status_code(StatusCode::FORBIDDEN);
    }
}

这种方式的优点是可以复用现有的Guard中间件机制，实现简单。缺点是过滤发生在HTTP协议解析之后，效率不如TCP层过滤高。

方案二：自定义Acceptor实现

对于需要更高性能的场景，可以实现自定义的Acceptor，在TCP连接建立时立即进行过滤：

struct IpFilterAcceptor<T> {
    inner: T,
    allow_list: Vec<IpAddr>,
}

impl<T: Acceptor> Acceptor for IpFilterAcceptor<T> {
    type Conn = T::Conn;
    
    async fn accept(&self) -> std::io::Result<Option<Self::Conn>> {
        loop {
            if let Some(conn) = self.inner.accept().await? {
                if let Some(peer_addr) = conn.peer_addr()? {
                    if self.allow_list.contains(&peer_addr.ip()) {
                        return Ok(Some(conn));
                    }
                }
            }
        }
    }
}

使用时：

let acceptor = TcpListener::bind("0.0.0.0:8080").await?;
let filtered_acceptor = IpFilterAcceptor {
    inner: acceptor,
    allow_list: vec![/* 允许的IP列表 */],
};
Server::new(filtered_acceptor).serve(router).await;

这种方案直接在TCP层进行过滤，效率最高，但需要实现自定义的Acceptor trait。

方案三：中间件与TCP过滤结合

对于需要更灵活控制的场景，可以结合两种方案：

1. TCP层进行初步快速过滤
2. HTTP层进行更精细的控制

struct TwoLayerFilter {
    tcp_filter: IpFilterAcceptor<TcpListener>,
    http_router: Router,
}

impl TwoLayerFilter {
    async fn serve(self) {
        Server::new(self.tcp_filter)
            .hoop(additional_ip_guard) // HTTP层二次验证
            .serve(self.http_router)
            .await;
    }
}

性能考量

不同方案的性能特点：

1. TCP层过滤：

   • 优点：资源消耗最小，连接立即拒绝
   • 缺点：实现相对复杂

2. HTTP层过滤：

   • 优点：实现简单，可结合其他HTTP信息
   • 缺点：需要完成TCP握手和HTTP解析

在实际应用中，可以根据安全需求级别选择适当的方案。对于高安全要求的场景，建议采用TCP层过滤；对于需要结合HTTP信息的复杂过滤规则，可以采用HTTP层过滤或两者结合的方式。

总结

Salvo框架提供了多种灵活的IP过滤实现方式，开发者可以根据具体需求选择最适合的方案。对于大多数Web应用，Guard中间件方案已经足够；对于高性能或高安全性要求的场景，自定义Acceptor是更好的选择。理解这些技术方案的差异有助于开发者构建更安全、更高效的Web服务。