gRPC教程 — TLS单向认证、双向认证、Token认证、拦截器

已于 2023-07-29 15:45:30 修改
阅读量3.2k 收藏 18
点赞数 4
分类专栏: grpc 文章标签: rpc
于 2022-05-23 23:16:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_XiMu/article/details/124937025
版权

gRPC教程 — TLS单向认证、双向认证、Token认证、拦截器

本文代码

码云:https://gitee.com/XiMuQi/go-grpc

问题重现

golang 1.15+版本上,用 gRPC通过TLS实现数据传输加密时,会报错证书的问题:

rpc error: code = Unavailable desc = connection error: desc = "transport: authentication handshake failed: x509: certificate is not valid for any names, but wanted to match www.ximu.info"

是因为用的TLS证书,并没有开启SAN扩展(默认是没有开启SAN扩展)所生成的,导致客户端和服务端无法建立连接。

什么是 SAN?

SAN(Subject Alternative Name)是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。

解决办法

一、生成CA根证书

后面需要使用根证书CA来生成服务端、客户端证书

1.1 在证书存放文件夹下 新建 ca.conf,写入内容如下:

#req 总的配置
[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name #使用 req_distinguished_name配置模块

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = BeiJing
localityName                = Locality Name (eg, city)
localityName_default        = BeiJing
organizationName            = Organization Name (eg, company)
organizationName_default    = XiMu
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = ximu

1.2 生成ca秘钥,得到ca.key

openssl genrsa -out ca.key 4096

1.3 生成ca证书签发请求,得到ca.csr

openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf

1.4 生成ca根证书,得到ca.crt

openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt

二、 生成服务端证书

2.1 在证书存放文件夹下,新建server.conf,写入内容如下:

#req 总配置
[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name  #使用 req_distinguished_name配置模块
req_extensions     = req_ext  #使用 req_ext配置模块

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = BeiJing
localityName                = Locality Name (eg, city)
localityName_default        = BeiJing
organizationName            = Organization Name (eg, company)
organizationName_default    = XiMu
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = ximu    #这里的Common Name 写主要域名即可(注意:这个域名也要在alt_names的DNS.x里) 此处尤为重要,需要用该服务名字填写到客户端的代码中

[ req_ext ]
subjectAltName = @alt_names #使用 alt_names配置模块

[alt_names]
DNS.1   = localhost
DNS.2   = ximu.info
DNS.3   = www.ximu.info
IP      = 127.0.0.1

2.2 生成秘钥,得到server.key

openssl genrsa -out server.key 2048

2.3 生成证书签发请求,得到server.csr

openssl req -new -sha256 -out server.csr -key server.key -config server.conf

2.4 用CA证书生成服务端证书,得到server.pem

openssl x509 -req -days 3650 -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.pem -extensions req_ext -extfile server.conf

现在证书已经生成完毕, server.pem 和 server.key就是我们需要的证书和密钥。

key: 服务器上的私钥文件,用于对发送给客户端数据的加密,以及对从客户端接收到数据的解密。
csr: 证书签名请求文件,用于提交给证书颁发机构(CA)对证书签名。
crt: 由证书颁发机构(CA)签名后的证书,或者是开发者自签名的证书,包含证书持有人的信息,持有人的公钥,以及签署者的签名等信息。
pem: 是基于Base64编码的证书格式,扩展名包括PEM、CRT和CER。

ca.conf和server.conf对比

可以发现ca.conf和server.conf的配置大致相同,这是因为ca.conf生成的是根证书,用户证书需要在根证书的基础上创建,所以高度相同,对于两个证书的配置信息不必过于深究,够使用即可。

三、证书的使用(单向认证)

3.1 服务端

package main

import (
	"context"
	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
	"google.golang.org/grpc/grpclog"
	"grpc01/service"
	"log"
	"net"
)

//1、声明一个server,里面是未实现的字段
type server struct {
	service.UnimplementedQueryUserServer
}

//2、必须要实现在hello.proto里声明的远程调用接口,否则客户端会报:
//rpc error: code = Unimplemented desc = method GetUserInfo not implemente
func (s *server) GetUserInfo(ctx context.Context, in *service.ReqParam) (*service.ResParam, error) {
	return &service.ResParam{Id: in.Id, Name: in.Name, Age: 20, Address: "Beijing"}, nil
}

func main() {

	//配置 TLS认证相关文件
	creds, err := credentials.NewServerTLSFromFile("keys/server.pem", "keys/server.key")
	if err != nil {
		grpclog.Fatalf("Failed to generate credentials %v", err)
	}

	//1、创建服务,并开启TLS认证
	//ser := grpc.NewServer()
	ser := grpc.NewServer(grpc.Creds(creds))

	//2、注册服务
	service.RegisterQueryUserServer(ser, &server{})

	//3、监听服务端口
	listener, err := net.Listen("tcp", ":8002")
	if err != nil {
		log.Fatal("服务监听端口失败", err)
	}

	//4、启动服务
	_ = ser.Serve(listener)
}

3.2 客户端

package main

import (
	"context"
	"fmt"
	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
	"google.golang.org/grpc/grpclog"
	"grpc01/service"
	"log"
)

func main() {

	// TLS连接  注意serverNameOverride填写的是在server.conf的[alt_names]里的DNS.X地址
	creds, err := credentials.NewClientTLSFromFile("keys/server.pem", "localhost")
	if err != nil {
		grpclog.Fatalf("Failed to create TLS credentials %v", err)
	}

	//1、 建立连接
	//conn, err := grpc.Dial(":8002", grpc.WithInsecure())
	conn, err := grpc.Dial(":8002", grpc.WithTransportCredentials(creds))
	if err != nil {
		log.Fatalf("did not connect: %v", err)
	}
	defer conn.Close()

	request := &service.ReqParam{
		Id:   123,
		Name: "西木",
	}

	// 2. 调用 hello_grpc.pb.go 中的NewQueryUserClient方法建立客户端
	query := service.NewQueryUserClient(conn)

	//3、调用rpc方法
	res, err := query.GetUserInfo(context.Background(), request)

	if err != nil {
		log.Fatal("调用gRPC方法错误: ", err)
	}
	fmt.Println("调用gRPC方法成功,ProdStock = ", res)

}

四、双向认证

注意事项

前面我们生成的根证书是ca.crt,在双向认证时,我使用的是ca.pem,所以需要更改一下证书的类型。
只需将1.4的生成ca.crt的命令改为ca.pem即可;

4.1 修改根证书生成命令

4.1.1 生成ca秘钥,得到ca.key【命令与1.2完全一致】

openssl genrsa -out ca.key 4096

4.1.2 生成ca证书签发请求,得到ca.csr【命令与1.3完全一致】

openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf

4.1.3 生成ca根证书,得到ca.pem的命令:

openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.pem

4.2 修改服务端证书生成命令

4.2.1 生成秘钥,得到server.key【命令与2.2完全一致】

openssl genrsa -out server.key 2048

4.2.2 生成证书签发请求,得到server.csr【命令与2.3完全一致】

openssl req -new -sha256 -out server.csr -key server.key -config server.conf

4.2.3 用CA证书生成服务端证书,得到server.pem

ca.crt替换成ca.pem 使用ca.pem的命令:

openssl x509 -req -days 3650 -CA ca.pem -CAkey ca.key -CAcreateserial -in server.csr -out server.pem -extensions req_ext -extfile server.conf

4.3 在证书存放文件夹下,新建client.conf,写入内容如下:

#req 总配置
[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name  #使用 req_distinguished_name配置模块
req_extensions     = req_ext  #使用 req_ext配置模块

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = BeiJing
localityName                = Locality Name (eg, city)
localityName_default        = BeiJing
organizationName            = Organization Name (eg, company)
organizationName_default    = XiMu
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = ximu    #这里的Common Name 写主要域名即可(注意:这个域名也要在alt_names的DNS.x里) 此处尤为重要,需要用该服务名字填写到客户端的代码中

[ req_ext ]
subjectAltName = @alt_names #使用 alt_names配置模块

[alt_names]
DNS.1   = localhost
DNS.2   = ximu.info
DNS.3   = www.ximu.info
IP      = 127.0.0.1

4.4 生成秘钥,得到client.key

openssl ecparam -genkey -name secp384r1 -out client.key

4.5 生成证书签发请求,得到client.csr

openssl req -new -sha256 -out client.csr -key client.key -config client.conf

4.6 用CA证书生成客户端证书,得到client.pem

使用ca.pem的命令:

openssl x509 -req -days 3650 -CA ca.pem -CAkey ca.key -CAcreateserial -in client.csr -out client.pem -extensions req_ext -extfile client.conf

4.7 服务端代码

ca.pemserver.keyserver.pem到服务端代码中:

package main

import (
	"context"
	"crypto/tls"
	"crypto/x509"
	"go-grpc/service"
	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
	"io/ioutil"
	"log"
	"net"
)

//1、声明一个server,里面是未实现的字段
type server struct {
	service.UnimplementedQueryUserServer
}

//2、必须要实现在hello.proto里声明的远程调用接口,否则客户端会报:
//rpc error: code = Unimplemented desc = method GetUserInfo not implemente
func (s *server) GetUserInfo(ctx context.Context, in *service.ReqParam) (*service.ResParam, error) {
	return &service.ResParam{Id: in.Id, Name: in.Name, Age: 20, Address: "Beijing"}, nil
}

const (
	// Address gRPC服务地址
	Address = "127.0.0.1:8003"
)

func main() {

	// TLS认证
	//从证书相关文件中读取和解析信息,得到证书公钥、密钥对
	cert, _ := tls.LoadX509KeyPair("keys2/server.pem", "keys2/server.key")
	//初始化一个CertPool
	certPool := x509.NewCertPool()
	ca, _ := ioutil.ReadFile("keys2/ca.pem")

	//注意这里只能解析pem类型的根证书,所以需要的是ca.pem
	//解析传入的证书,解析成功会将其加到池子中
	certPool.AppendCertsFromPEM(ca)

	//构建基于TLS的TransportCredentials选项
	creds := credentials.NewTLS(&tls.Config{
		Certificates: []tls.Certificate{cert},        //服务端证书链,可以有多个
		ClientAuth:   tls.RequireAndVerifyClientCert, //要求必须验证客户端证书
		ClientCAs:    certPool,                       //设置根证书的集合,校验方式使用 ClientAuth 中设定的模式
	})

	//1、创建服务,并开启TLS认证
	//ser := grpc.NewServer()
	//ser := grpc.NewServer(grpc.Creds(creds), grpc.KeepaliveParams(keepalive.ServerParameters{
	//	MaxConnectionIdle: 5 * time.Minute, //这个连接最大的空闲时间,超过就释放,解决proxy等到网络问题(不通知grpc的client和server)
	//}))
	ser := grpc.NewServer(grpc.Creds(creds))

	//2、注册服务
	service.RegisterQueryUserServer(ser, &server{})

	//3、监听服务端口
	listener, err := net.Listen("tcp", Address)
	if err != nil {
		log.Fatal("服务监听端口失败", err)
	}

	//4、启动服务
	_ = ser.Serve(listener)
}

4.8 客户端代码

ca.pemclient.keyclient.pem到客户端代码中:

package main

import (
	"context"
	"crypto/tls"
	"crypto/x509"
	"fmt"
	"go-grpc/service"
	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
	"io/ioutil"
	"log"
)

const (
	// Address gRPC服务地址
	Address = "127.0.0.1:8003"
)

func main() {

	// 证书认证-双向认证
	// 从证书相关文件中读取和解析信息,得到证书公钥、密钥对
	cert, _ := tls.LoadX509KeyPair("keys2/client.pem", "keys2/client.key")
	// 创建一个新的、空的 CertPool
	certPool := x509.NewCertPool()
	ca, _ := ioutil.ReadFile("keys2/ca.pem")

	//注意这里只能解析pem类型的根证书,所以需要的是ca.pem
	// 尝试解析所传入的 PEM 编码的证书。如果解析成功会将其加到 CertPool 中,便于后面的使用
	certPool.AppendCertsFromPEM(ca)

	// 构建基于 TLS 的 TransportCredentials 选项
	creds := credentials.NewTLS(&tls.Config{
		// 设置证书链,允许包含一个或多个
		Certificates: []tls.Certificate{cert},
		ServerName: "ximu.info", //注意这里的参数为配置文件中所允许的ServerName,也就是其中配置的DNS...
		RootCAs:    certPool,
	})

	//1、 建立连接
	conn, err := grpc.Dial(Address, grpc.WithTransportCredentials(creds))
	if err != nil {
		log.Fatalf("did not connect: %v", err)
	}
	defer conn.Close()

	request := &service.ReqParam{
		Id:   123,
		Name: "西木",
	}

	// 2. 调用 hello_grpc.pb.go 中的NewQueryUserClient方法建立客户端
	query := service.NewQueryUserClient(conn)

	//3、调用rpc方法
	res, err := query.GetUserInfo(context.Background(), request)

	if err != nil {
		log.Fatal("调用gRPC方法错误: ", err)
	}
	fmt.Println("双向认证:调用gRPC方法成功,ProdStock = ", res)

}

五、Token认证

5.1 服务端代码

package main

import (
	"context"
	"fmt"
	"go-grpc/service"
	"google.golang.org/grpc"
	"google.golang.org/grpc/codes"
	"google.golang.org/grpc/metadata"
	"google.golang.org/grpc/status"
	"log"
	"net"
)

//1、声明一个server,里面是未实现的字段
type server struct {
	service.UnimplementedQueryUserServer
}

//2、必须要实现在hello.proto里声明的远程调用接口,否则客户端会报:
//rpc error: code = Unimplemented desc = method GetUserInfo not implemente
func (s *server) GetUserInfo(ctx context.Context, in *service.ReqParam) (*service.ResParam, error) {
	return &service.ResParam{Id: in.Id, Name: in.Name, Age: 20, Address: "Beijing"}, nil
}

const (
	// Address gRPC服务地址
	Address = "127.0.0.1:8003"
)

func main() {
	var authInterceptor grpc.UnaryServerInterceptor

	//匿名方法
	authInterceptor = func(
		ctx context.Context,
		req interface{},
		info *grpc.UnaryServerInfo,
		handler grpc.UnaryHandler,
	) (resp interface{}, err error) {
		//拦截普通方法请求,验证 Token
		err = Auth(ctx)
		if err != nil {
			return
		}
		// 继续处理请求
		return handler(ctx, req)
	}

	ser := grpc.NewServer(grpc.UnaryInterceptor(authInterceptor))

	//2、注册服务
	service.RegisterQueryUserServer(ser, &server{})

	//3、监听服务端口
	listener, err := net.Listen("tcp", Address)
	if err != nil {
		log.Fatal("服务监听端口失败", err)
	}

	//4、启动服务
	_ = ser.Serve(listener)
}

func Auth(ctx context.Context) error {
	md, ok := metadata.FromIncomingContext(ctx)
	if !ok {
		return fmt.Errorf("missing credentials")
	}
	var user string
	var password string

	if val, ok := md["user"]; ok {
		user = val[0]
	}
	if val, ok := md["password"]; ok {
		password = val[0]
	}

	if user != "admin" || password != "admin" {
		return status.Errorf(codes.Unauthenticated, "客户端请求的token不合法")
	}
	return nil
}

5.2 客户端

5.2.1 客户端需要实现 PerRPCCredentials 接口

package service

import "context"

type PerRPCCredentials interface {

	//GetRequestMetadata 方法返回认证需要的必要信息
	GetRequestMetadata(ctx context.Context, uri ...string) (map[string]string, error)

	//RequireTransportSecurity 方法表示是否启用安全链接,在生产环境中,一般都是启用的,但为了测试方便,暂时这里不启用
	RequireTransportSecurity() bool
}

具体实现:

package impl

import "context"

type Authentication struct {
	User     string
	Password string
}

func (a *Authentication) GetRequestMetadata(context.Context, ...string) (map[string]string, error) {
	return map[string]string{"user": a.User, "password": a.Password}, nil
}

func (a *Authentication) RequireTransportSecurity() bool {
	return false
}

5.3 客户端

package main

import (
	"context"
	"fmt"
	"go-grpc/service"
	"go-grpc/token/service/impl"
	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials/insecure"
	"log"
)

const (
	// Address gRPC服务地址
	Address = "127.0.0.1:8003"
)

func main() {

	user := &impl.Authentication{
		User:     "admin",
		Password: "admin2",
	}
	//1、 建立连接
	conn, err := grpc.Dial(Address, grpc.WithTransportCredentials(insecure.NewCredentials()), grpc.WithPerRPCCredentials(user))

	if err != nil {
		log.Fatalf("did not connect: %v", err)
	}
	defer conn.Close()

	request := &service.ReqParam{
		Id:   123,
		Name: "西木",
	}

	// 2. 调用 hello_grpc.pb.go 中的NewQueryUserClient方法建立客户端
	query := service.NewQueryUserClient(conn)

	//3、调用rpc方法
	res, err := query.GetUserInfo(context.Background(), request)

	if err != nil {
		log.Fatal("调用gRPC方法错误: ", err)
	}
	fmt.Println("Token:调用gRPC方法成功,ProdStock = ", res)

}

六、拦截器

参考:拦截器

西木Qi
关注
  • 4
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
基于SSL/TLS双向安全连接设备CA证书认证
编程识堂的博客
12-05 4530
SSL/TLS 安全优势 强认证。 用 TLS 建立连接的时候,通讯双方可以互相检查对方的身份。在实践中很常见的一种身份检查方式是检查对方持有的 X.509 数字证书。这样的数字证书通常是由一个受信机构颁发的,不可伪造。 **保证机密性。**TLS 通讯的每次会话都会由会话密钥加密,会话密钥由通讯双方协商产生。任何第三方都无法知晓通讯内容。即使一次会话的密钥泄露,并不影响其他会话的安全性。 完整性。 加密通讯中的数据很难被篡改而不被发现。 SSL/TLS 协议 TLS/SSL 协议下的通讯过程分为两部
golang工程组件篇:高性能RPC框架gRPCTLS双向TLS确保通讯安全
SMILY12138的博客
05-24 560
上述代码中,我们使用credentials.NewClientTLSFromFile()方法创建了一个客户端TLS凭证对象,并将其作为grpc.WithTransportCredentials()选项传递给grpc.Dial()方法。上述代码中,我们使用credentials.NewClientTLSFromFile()方法创建了一个客户端TLS凭证对象,并将其作为grpc.WithTransportCredentials()选项传递给grpc.Dial()方法。第一步是生成证书和私钥文件,与TLS相同。
带入gRPCTLS 证书认证
weixin_34365417的博客
10-07 2774
带入gRPCTLS 证书认证 原文地址:带入gRPCTLS 证书认证项目地址:https://github.com/EDDYCJY/go... 前言 在前面的章节里,我们介绍了 gRPC 的四种 API 使用方式。是不是很简单呢
grpc-demo:java版grpc 示例,使用拦截器实现了token认证
05-16
grpc-demo java版grpc 示例,使用拦截器实现了token认证
gRPC — SSL/TLS单向认证双向认证Token认证
最新发布
qq_56639722的博客
03-09 1762
传输层安全性协议(Transport Layer Security,缩写作 TLS ),其前身安全套接层(Secure Sockets Layer,缩写作 SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。根据传输层安全协议的规范,客户端与服务端的连接安全应该具备连接是私密的或连接是可靠的一种以上的特性。SSL/TLS 协议通过 X.509 证书的数字文档将网站的公司实体信息绑定到加密密钥,每一个密钥对都有一个私有密钥和一个公有密钥。
ssl双向认证_详解TLS/SSL运行机制
weixin_39827850的博客
12-08 441
TLS传输层安全性协议(Transport Layer Security)及其前身SSL安全套接层(Secure Sockets Layer)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障,TLS/SSL协议位于网络OSI七层模型的会话层,用来加密通信。TLS/SSL握手过程 第一步,客户端(Client)以明文的形式发起请求信息(client_hello),其中信息包含; 客户端生...
gRPC 的调用认证
qq_46457076的博客
02-25 646
关于 gRPC 的调用认证介绍!
gRPC双向认证初入
程序彤的博客
06-18 349
生成.pem和.key文件 server.go文件 package main import ( "crypto/tls" "crypto/x509" "google.golang.org/grpc" "google.golang.org/grpc/credentials" "io/ioutil" "learnProto/services/proto" "net" ) func main(){ cert, _ := tls.LoadX509KeyPair("cert/server.pe.
gRPC(五)进阶:通过TLS建立安全连接
林钟一的博客
11-04 3644
传输层安全 (TLS) 对通过 Internet 发送的数据进行加密,以确保窃听者和黑客无法看到您传输的内容,这对于密码、信用卡号和个人通信等私人和敏感信息特别有用。传输层安全 (TLS) 是一种 Internet 工程任务组 ( IETF ) 标准协议,可在两个通信计算机应用程序之间提供身份验证、隐私和数据完整性。它是当今使用最广泛部署的安全协议,最适合需要通过网络安全交换数据的 Web 浏览器和其他应用程序。
gRPC 的 SSL/TLS 加密认证
qq_46457076的博客
02-16 1429
关于 gRPC 的 SSL/TLS 加密认证介绍!
ESP32 SSL/TLS 双向认证实践
ESP 技术分享,推动万物互联
06-20 3394
ESP32 SSL/TLS 双向认证实践
ASP.NET Core 3.0 gRPC拦截器的使用
12-23
前面两篇文章给大家介绍了使用gRPC的入门以及双向流的使用,今天介绍的是gRPC中的拦截器拦截器就像MVC的过滤器或者是ASP.NET Core middleware 一样,具有面向切面的思想,可以在调用服务的时候进行一些统一处理, ...
grpc-interceptor:简化的 Python gRPC 拦截器
05-31
简化的 Python gRPC 拦截器。 Python grpc包提供了服务拦截器,但由于它们的灵活性,它们有点grpcgrpc拦截器无法直接访问请求和响应对象或服务上下文。 通常需要访问这些,以便能够在请求或响应中记录数据,...
grpc-jaeger:Go实现的gRPC拦截器
05-12
grpc-jaeger grpc-jaeger是Go实施的gRPC拦截器,它基于opentracing和uber / jaeger。 您可以使用它来构建分布式gRPC跟踪系统。依存关系github.com/opentracing/opentracing-gogithub.com/uber/jaeger-client-go用法...
gRPC安全设计理解双向证书方案
weixin_47208161的博客
11-02 1509
序言安全需求安全方案敏感数据加密传输认证鉴权数据完整性和一致性证书的基本原理单向证书双向证书gRPC安全机制SSL/TLS认证GoogleOAuth2.0自定义安全认证策略序言网络安全领...
asp.ner core 5.0 Grpc双向认证 和 restful api包装 外加swagger启用【VSCode创建】
dz45693的专栏
01-03 2130
关于grpc 我以前的文章.Net Core3.0使用gRPC 和IdentityServer4已经很向详细了, 关于http的双向认证 也已经有了, 大家可以参考asp.net 5.0 https的双向认证(windows和ubuntu),今天主要试一下 在vccode 里面怎么完成全部的操作,证书还是用asp.net 5.0 https的双向认证(windows和ubuntu)里面的, 结尾我会贴下来创建代码 Grpc Server 1.创建grpc server 创建结果如图: ...
grpc介绍(二)——认证方式
www_dong的博客
10-04 1588
grpc认证方式介绍
grpcTLS认证证书问题
qq_28356505的博客
10-18 7469
grpc TLS证书问题场景:问题:Error 1Error 2解决方法:项目目录:证书生成:1.ca根证书生成:2.server证书生成:服务端与客户端中TLS认证:1.服务端:2.客户端: 场景: 参考gorpc实例进行grpcTLS验证时出现问题,解决办法参考openssl 证书生成笔记(go 1.15版本以上) 问题: Error 1 报错:rpc error: code = Unavailable desc = connection error: desc = “transport: authe
SSL双向认证单向认证
m0_51514815的博客
05-29 3569
参考:https://www.cnblogs.com/bluestorm/p/10571989.html整理双向认证 SSL 协议要求服务器和用户双方都有证书。单向认证 SSL 协议不需要客户拥有CA证书。
golang grpc双向认证
07-27
gRPC是一种高性能、开源的远程过程调用(RPC)框架,它使用Protocol Buffers作为接口定义语言(IDL)。双向认证是指在进行gRPC通信时,服务端和客户端都需要进行身份验证。在gRPC中,双向认证可以通过使用TLS/SSL证书来实现。 在gRPC中实现双向认证需要以下步骤: 1. 生成证书:首先,需要生成服务端和客户端的证书。可以使用openssl或其他工具来生成证书和私钥。 2. 配置TLS/SSL:服务端和客户端都需要配置TLS/SSL来启用加密通信。服务端需要加载证书和私钥,而客户端需要加载服务端的证书用于验证服务端身份。 3. 配置双向认证:服务端和客户端都需要配置双向认证。服务端需要验证客户端的证书,而客户端需要验证服务端的证书。 4. 实现认证逻辑:在服务端和客户端的代码中,需要实现证书验证逻辑。可以使用TLS配置中的回调函数来进行验证。 可以参考引用\[2\]中提供的gRPC-Gateway和引用\[3\]中的依赖安装命令来实现gRPC双向认证。这些工具和库可以帮助简化双向认证的实现过程。 总结起来,golang中实现gRPC双向认证的步骤包括生成证书、配置TLS/SSL、配置双向认证和实现认证逻辑。通过这些步骤,可以确保服务端和客户端之间的通信是安全和可信的。 #### 引用[.reference_title] - *1* [Go Grpc Jwt身份认证和Gateway集成以及HTTPS双向认证](https://blog.csdn.net/dz45693/article/details/112180692)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [【gRPC双向认证grpc-gateway原理及简单使用](https://blog.csdn.net/dl962454/article/details/124384299)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值