本文介绍如何利用 go 标准库 `net/http` 的中间件思想,在所有路由处理器执行前统一运行预处理逻辑(如 ip 黑名单检查),无需修改业务 handler,兼容 `http.servemux`、gorilla mux 等任意 `http.handler` 实现。
在 Go 的 HTTP 生态中,net/http 包本身不提供“中间件”或“全局前置钩子”的显式概念,但其基于 http.Handler 接口的组合设计天然支持链式封装——这正是实现“运行函数于所有处理器之前”的核心机制。
最简洁、通用且符合 Go 惯例的方式是:创建一个包装型 handler(wrapper handler),它接收原始 handler(如 *http.ServeMux 或 *gorilla/mux.Router),并在调用其 ServeHTTP 方法前插入自定义逻辑。
以下是一个生产就绪的 IP 黑名单校验示例:
type IPChecker struct {
next http.Handler
}
func (c IPChecker) ServeHTTP(w http.ResponseWriter, r *http.Request) {
// 提取真实客户端 IP(注意:r.RemoteAddr 可能为代理地址,生产环境建议结合 X-Forwarded-For 处理)
clientIP := getClientIP(r)
if isBlacklisted(clientIP) {
http.Error(w, "Access denied: IP address blocked", http.StatusForbidden)
return
}
// 通过 —— 继续调用下游 handler
c.next.ServeHTTP(w, r)
}
// 辅助函数:获取可信客户端 IP(示例,需根据部署环境调整)
func getClientIP(r *http.Request) string {
// 优先从 X-Real-IP 或 X-Forwarded-For 获取(需确保反向代理已设置并可信)
if ip := r.Header.Get("X-Real-IP"); ip != "" {
return ip
}
if ip := r.Header.Get("X-Forwarded-For"); ip != "" {
// 取第一个(防伪造,需配合可信代理配置)
if i := strings.Index(ip, ","); i > -1 {
return strings.TrimSpace(ip[:i])
}
return strings.TrimSpace(ip)
}
// 回退到 RemoteAddr(仅适用于直连场景)
host, _, _ := net.SplitHostPort(r.RemoteAddr)
return host
}使用方式极其简单:只需将你原本传给 http.ListenAndServe 的 handler 封装一层即可:
// 假设你使用 Gorilla Mux
r := mux.NewRouter()
r.HandleFunc("/", homeHandler).Methods("GET")
r.HandleFunc("/api/users", userHandler).Methods("POST")
// ✅ 添加前置校验:用 IPChecker 包装路由器
handler := IPChecker{next: r}
log.Println("Server starting on :8080")
http.ListenAndServe(":8080", handler)⚠️ 注意事项:r.RemoteAddr 默认包含端口号(如 192.168.1.100:54321),解析时务必用 net.SplitHostPort 提取 IP;若应用部署在 Nginx、Cloudflare 等反向代理后,RemoteAddr 将是代理地址,必须依赖 X-Forwarded-For 或 X-Real-IP 头,并确保代理已正确配置且头字段不可被客户端篡改;IPChecker 是无状态结构体,可安全复用;若需注入依赖(如黑名单存储),建议改为函数式中间件或带字段的闭包;此模式完全正交于路由库选择——无论是标准 http.ServeMux、Gorilla Mux、Chi 还是 Gin(适配器模式下),只要满足 http.Handler 接口,均可无缝集成。
总结来说,Go 的 http.Handler 接口设计鼓励组合而非继承。通过编写轻量 wrapper,你不仅能实现 IP 校验,还可轻松扩展日志记录、身份认证、请求限流、CORS 注入等各类前置逻辑——这是构建健壮、可维护 Go Web 服务的基础范式。
