Kirill
94 lines
4.1 KiB
Markdown
94 lines
4.1 KiB
Markdown
# IP-gate: ограничение доступа на время разработки
|
||
|
||
## Задача
|
||
|
||
Сайт доступен на реальном домене (через VPS + NPM + Netbird), но находится в активной разработке/тестировании. Нужно ограничить доступ, не мешая разработке и полному тестированию функционала (включая OAuth и webhook-и).
|
||
|
||
## Решение
|
||
|
||
IP-whitelist на уровне Fastify (`onRequest` хук). Только запросы с разрешённых IP проходят. Внешние webhook-и и OAuth callback-и исключены из проверки.
|
||
|
||
## Конфигурация
|
||
|
||
### `.env`
|
||
|
||
```env
|
||
SITE_ACCESS_IPS=1.2.3.4,5.6.7.8
|
||
```
|
||
|
||
- Не задана или пуста — защита **отключена**
|
||
- IP через запятую, пробелы игнорируются (трим)
|
||
- `request.ip` возвращает реальный IP клиента благодаря `trustProxy: true`
|
||
|
||
## Архитектура
|
||
|
||
### Новый плагин: `server/src/plugins/ip-gate.js`
|
||
|
||
Регистрируется в `server/src/index.js` **перед** всеми маршрутами.
|
||
|
||
```js
|
||
fastify.register(async function ipGate(fastify, opts) {
|
||
fastify.addHook('onRequest', async (request, reply) => {
|
||
// защита выключена
|
||
// путь в исключениях
|
||
// ip в списке
|
||
// иначе 403
|
||
})
|
||
})
|
||
```
|
||
|
||
### Логика `onRequest`
|
||
|
||
1. `SITE_ACCESS_IPS` пуст → `return` (пропустить)
|
||
2. Путь запроса в списке исключений → `return`
|
||
3. `request.ip` есть в `SITE_ACCESS_IPS` → `return`
|
||
4. Иначе → `reply.code(403).type('text/html').send(htmlPage)`
|
||
|
||
### Исключения
|
||
|
||
Маршруты, которые должны работать всегда (их вызывают внешние сервисы, а не браузер тестировщика):
|
||
|
||
| Путь | Причина |
|
||
|---|---|
|
||
| `/api/auth/oauth/vk/callback` | VK OAuth callback |
|
||
| `/api/auth/oauth/yandex/callback` | Yandex OAuth callback |
|
||
| `/api/webhooks/yookassa` | YooKassa payment webhook |
|
||
| `/api/admin/notifications/telegram/webhook` | Telegram webhook |
|
||
|
||
Статика (загружается браузером тестировщика, поэтому тоже проверяется):
|
||
- `/uploads/*` и `/uploads-resized/*` — **не** исключаем, блокируются вместе со всем остальным
|
||
|
||
### 403-страница
|
||
|
||
HTML-страница с информацией о магазине и статусе разработки:
|
||
|
||
- Название: «Любимый Креатив»
|
||
- Подзаголовок: «Изделия ручной работы: вещи с характером и вниманием к деталям»
|
||
- Сообщение: «Сайт находится в разработке и скоро будет доступен»
|
||
- Показывает IP посетителя (чтобы можно было сообщить для добавления в whitelist)
|
||
- Минимальная стилизация (чистый HTML + inline CSS, без внешних ресурсов)
|
||
|
||
## Точки регистрации
|
||
|
||
В `server/src/index.js`:
|
||
|
||
```js
|
||
// после trustProxy, перед маршрутами
|
||
await fastify.register(require('./plugins/ip-gate'))
|
||
```
|
||
|
||
## Тестирование
|
||
|
||
- **Юнит-тесты**: `server/src/plugins/__tests__/ip-gate.test.js`
|
||
- IP в списке → запрос проходит
|
||
- IP не в списке → 403
|
||
- Путь-исключение → проходит с любым IP
|
||
- `SITE_ACCESS_IPS` не задан → защита выключена
|
||
- Пробелы в списке IP → корректная работа
|
||
|
||
## Включение/выключение
|
||
|
||
- **Включить**: задать `SITE_ACCESS_IPS` в `.env`
|
||
- **Выключить**: удалить `SITE_ACCESS_IPS` или оставить пустым
|
||
- Перезапуск сервера не требуется если используется `node --watch`
|