用oschwald/maxminddb-golang库通过maxminddb.Open自动mmap加载.mmdb文件,复用*maxminddb.Reader实例;需校验可信代理头获取真实IP;重定向用307防缓存;本地开发应mock IP而非依赖localhost。
用 maxminddb 读取 GeoIP2 数据库最稳
Go 官方不带 GeoIP 支持,得靠第三方库;oschwald/maxminddb-golang 是事实标准,兼容 GeoIP2 City/ASN/ Country 格式,且支持内存映射(mmap),查 IP 时几乎零拷贝。别用已归档的 geoip2 旧版或纯 HTTP 查询方案——延迟高、易被限流、没缓存控制。
常见错误是直接 os.Open 然后 maxminddb.FromReader,这会导致每次查询都走磁盘 I/O。正确做法是用 os.OpenFile 配合 maxminddb.Open,它自动启用 mmap:
db, err := maxminddb.Open("GeoLite2-City.mmdb")
if err != nil {
log.Fatal(err)
}
defer db.Close()
- 数据库文件必须是 .mmdb 后缀,.dat 或 .csv 会打开失败,报
invalid database format - 路径要绝对或确保工作目录正确,相对路径在 daemon 模式下容易指向错位置
- 别在 HTTP handler 里反复
Open,一个进程共用一个*maxminddb.Reader实例即可
从 *http.Request 提取真实客户端 IP 要绕过代理头
直接用 r.RemoteAddr 只能拿到 TCP 层 IP(通常是负载均衡或反向代理地址),不是用户真实出口 IP。必须检查 X-Forwarded-For 或 X-Real-IP,但不能无脑取第一个值——攻击者可伪造这些 header。
安全做法是只信任你可控的上游代理(如 Nginx、ALB)所追加的字段,并按可信跳数截断:
立即学习“go语言免费学习笔记(深入)”;
- 如果流量只经过一层 Nginx,配置了
proxy_set_header X-Real-IP $remote_addr;,就优先用r.Header.Get("X-Real-IP") - 如果用了 Cloudflare,应校验
CF-Connecting-IP并确认请求来自 Cloudflare ASN(防止 header 注入) - 用
net.ParseIP校验提取出的字符串,非法 IP 一律 fallback 到r.RemoteAddr的 host 部分
根据国家代码做重定向时,注意 redirect 的响应码和缓存陷阱
HTTP 重定向本身不感知地理信息,但浏览器或 CDN 可能缓存 302 响应,导致用户换地区后仍被导到旧站点。别用 http.Redirect 默认的 302 —— 它允许缓存;该用 307(临时重定向,禁止缓存)或 308(永久重定向,需确认策略稳定)。
示例逻辑:
country, _ := getCountryCodeFromIP(ip)
switch country {
case "CN":
http.Redirect(w, r, "https://cn.example.com", http.StatusTemporaryRedirect) // 307
case "US", "GB":
http.Redirect(w, r, "https://en.example.com", http.StatusTemporaryRedirect)
default:
// 不重定向,走默认站
serveDefault(w, r)
}
-
http.StatusTemporaryRedirect对应 307,语义清晰且主流 CDN(Cloudflare、AWS CloudFront)默认不缓存 - 别在重定向前写 body 或 set Cookie,307 不允许响应体
- 如果用 301/308,CDN 和浏览器可能长期缓存,后续调整国别策略时用户无法及时生效
本地开发时 localhost 查不到地理位置,得 mock 测试路径
查 127.0.0.1 或 ::1 在 GeoIP 库里永远返回空或 “private” 网段,导致本地跑不起来重定向逻辑。硬编码测试 IP(如东京的 203.155.123.45)又难维护。
- 用中间件包装 handler,在开发环境注入 fake IP:
r = r.WithContext(context.WithValue(r.Context(), "real-ip", net.ParseIP("203.155.123.45"))) - 或者改用
httptest.NewRequest构造测试请求时手动设 header:req.Header.Set("X-Real-IP", "203.155.123.45") - 别在生产代码里写
if os.Getenv("ENV") == "dev"分支查库,mock 掉 DB 读取更干净
GeoIP 查询本身不慢,但误配数据库路径、忽略代理链、盲目信任 header,这三处出问题的概率远高于算法逻辑。上线前务必用真实境外代理验证一次重定向链路。
