GRPC开发(5)-grpc服务开发-带证书才是安全的服务

最新推荐文章于 2024-06-06 17:32:19 发布
最新推荐文章于 2024-06-06 17:32:19 发布
阅读量1.3k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/edu_enth/article/details/95188183
版权

cd ~/goproject/grpcpro
项目中,server、client、protoc、cert目录都是并列的,go mod的模块是grpcpro

改造server.go

s := grpc.NewServer()
改成
creds, err := credentials.NewServerTLSFromFile("…/cert/server.crt", “…/cert/server.key”)
s := grpc.NewServer(grpc.Creds(creds))

package main
import (
        "context"
        "log"
        "net"
        pb "grpcpro/protoc"
        "google.golang.org/grpc/credentials"
        "google.golang.org/grpc"
)

const (
        addr = "127.0.0.1:50052"
)

type server struct{}

func (s *server) SayHello(ctx context.Context, in *pb.HelloRequest) (*pb.HelloReply, error) {
        log.Printf("Received: %v", in.Name)
        return &pb.HelloReply{Message: "Hello " + in.Name}, nil
}
func main() {
        creds, err := credentials.NewServerTLSFromFile("../cert/server.crt", "../cert/server.key")
        s := grpc.NewServer(grpc.Creds(creds))
        //s := grpc.NewServer()
        pb.RegisterHelloServer(s, &server{})

        lis, err := net.Listen("tcp", addr)
        if err != nil {
                log.Fatalf("failed to listen: %v", err)
        }
        if err := s.Serve(lis); err != nil {
                log.Fatalf("failed to serve: %v", err)
        }
}

改造client.go
之前的服务,没有证书,所以使用grpc.WithInsecure()跳过了证书验证
现在需要证书验证
方式1:
在客户端基于服务器的证书和服务器名字就可以对服务器进行验证

记得创建证书时:# openssl req -new -key server.key -subj “/CN=grpcpro1” -out server.csr
服务器名称是 grpcpro1
把conn, err := grpc.Dial(address, grpc.WithInsecure())
改成
creds, err := credentials.NewClientTLSFromFile("…/…/cert/server.crt", “grpcpro1”)
if err != nil {
log.Fatalf(“NewClientTLSFromFile: %v”, err)
}
conn, err := grpc.Dial(address, grpc.WithTransportCredentials(creds))

package main

import (
        "context"
        "log"
        "os"
        "time"
        "google.golang.org/grpc/credentials"
        pb "grpcpro/protoc"
        "google.golang.org/grpc"
)

const (
        address     = "127.0.0.1:50052"
        defaultName = "world"
)

func main() {
        // grpc.Dial负责和GRPC服务建立链接
        creds, err := credentials.NewClientTLSFromFile("../cert/server.crt", "grpcpro1")
        if err != nil {
                log.Fatalf("NewClientTLSFromFile: %v", err)
        }
        conn, err := grpc.Dial(address, grpc.WithTransportCredentials(creds))
        if err != nil {
                log.Fatalf("did not connect: %v", err)
        }
        defer conn.Close()
        // 然后NewGreeterClient函数基于已经建立的链接构造GreeterClient对象
        // 返回的client其实是一个GreeterClient接口对象,通过接口定义的方法就可以调用服务端对应的GRPC服务提供的方法。
        c := pb.NewHelloClient(conn)

        // Contact the server and print out its response.
        name := defaultName
        if len(os.Args) > 1 {
                name = os.Args[1]
        }
        //5秒超时
        ctx, cancel := context.WithTimeout(context.Background(), time.Second*5)
        defer cancel()
        r, err := c.SayHello(ctx, &pb.HelloRequest{Name: name})
        if err != nil {
                log.Fatalf("could not greet: %v", err)
        }
        log.Printf("Hello: %s", r.Message)
}

上面是简单的实现。
下面是比较完整的实现
server.go
使用http的http.ListenAndServeTLS代替net.Listen

package main
import (
        "context"
        "log"
        "net/http"
        pb "grpcpro/protoc"
        "google.golang.org/grpc"
)

const (
        addr = "127.0.0.1:50052"
)

type server struct{}

func (s *server) SayHello(ctx context.Context, in *pb.HelloRequest) (*pb.HelloReply, error) {
        log.Printf("Received: %v", in.Name)
        return &pb.HelloReply{Message: "Hello " + in.Name}, nil
}

func main() {
        s := grpc.NewServer()
        // var size = 1024 * 1024 * 1024 //1024M
        // s := grpc.NewServer(grpc.MaxMsgSize(size), grpc.MaxRecvMsgSize(size), grpc.MaxSendMsgSize(size))
        pb.RegisterHelloServer(s, &server{})
        if err:=http.ListenAndServeTLS(addr, "../cert/server.crt", "../cert/server.key",
                http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
                        s.ServeHTTP(w, r) // GRPC Server
                        return
                }),
        );err!=nil{
                panic(err)
        }
}

client改造
client应该使用生成的client证书,在客户端就基于CA证书对服务器进行证书验证
ServerName还是之前的/CN: “grpcpro1”

package main

import (
        "context"
        "log"
        "os"
        "time"
        "crypto/x509"
        "crypto/tls"
        "io/ioutil"
        "google.golang.org/grpc/credentials"
        pb "grpcpro/protoc"
        "google.golang.org/grpc"
)

const (
        address     = "127.0.0.1:50052"
        defaultName = "world"
)

func main() {

        certificate, err := tls.LoadX509KeyPair("../cert/client.crt", "../cert/client.key")
        if err != nil {
                log.Fatal(err)
        }

        certPool := x509.NewCertPool()
        ca, err := ioutil.ReadFile("../cert/ca.crt")
        if err != nil {
                log.Fatal(err)
        }
        if ok := certPool.AppendCertsFromPEM(ca); !ok {
                log.Fatal("failed to append ca certs")
        }
        creds := credentials.NewTLS(&tls.Config{
                Certificates: []tls.Certificate{certificate},
                ServerName: "grpcpro1", // NOTE: this is required!
                RootCAs: certPool,
        })



        // grpc.Dial负责和GRPC服务建立链接
        conn, err := grpc.Dial(address, grpc.WithTransportCredentials(creds))
        if err != nil {
                log.Fatalf("did not connect: %v", err)
        }
        defer conn.Close()
        // 然后NewGreeterClient函数基于已经建立的链接构造GreeterClient对象
        // 返回的client其实是一个GreeterClient接口对象,通过接口定义的方法就可以调用服务端对应的GRPC服务提供的方法。
        c := pb.NewHelloClient(conn)

        // Contact the server and print out its response.
        name := defaultName
        if len(os.Args) > 1 {
                name = os.Args[1]
        }
        //5秒超时
        ctx, cancel := context.WithTimeout(context.Background(), time.Second*5)
        defer cancel()
        r, err := c.SayHello(ctx, &pb.HelloRequest{Name: name})
        if err != nil {
                log.Fatalf("could not greet: %v", err)
        }
        log.Printf("Hello: %s", r.Message)
}

至此我们就启动了安全的GRPC服务了。否则按照之前的无证书访问,简直就是裸奔。。。

InterestingFigure
关注
专栏目录
grpc-core-1.24.0-API文档-中文版.zip
05-09
赠送jar包:grpc-core-1.24.0.jar; 赠送原API文档:grpc-core-1.24.0-javadoc.jar; 赠送源代码:grpc-core-1.24.0-sources.jar; 赠送Maven依赖信息文件:grpc-core-1.24.0.pom; 包含翻译后的API文档:grpc-core-...
golanggRPC 证书认证
朱金拖的专栏
07-06 1349
《GO语言高级编程》设计中案例,仅作为笔记进行收藏。gRPC建⽴在HTTP/2协议之上,对TLS提供了很好的⽀持。客户端在链接服务器中通过 grpc.WithInsecure() 选项跳过了对服务证书的验证,没有启⽤证书gRPC服务在和客户端进⾏的是明⽂通讯,信息⾯临被任何第三⽅监听的⻛险。为了保障gRPC通信不被第三⽅监听篡改或伪造,可以对服务器启动TLS加密特性。 1.结构目录 2.为服务器和客户端分别生成私钥和证书,存放在 tls-config/ 目录下,命令如下: // Makefi
grpcgrpc进阶二,grpc认证方式
SauryN的博客
04-14 462
上面可以看到,我们在进行认证配置的时候使用的是,所以我们实现类型的接口即可自定义认证内容。// auth.goimport ("context""errors"Ak, Sk string // 自定义认证内容UseTls bool // 是否进行使用tls加密// 从元数据中构建认证tokenif!ok {import ("context""fmt"// 注意:这里使用的是服务证书证书中的名称if err!= nil {panic(err)// 创建rpc连接。
详细解析下gRPC examples-RBAC authenication-权限组管理-基于自定义Token
qq_42901723的博客
09-25 351
RBAC (Role-Based Access Control) 授权策略是一种用于控制系统或应用程序中用户或实体对资源的访问权限的方法。在 RBAC 中,访问控制是基于角色的,而不是基于个体用户的。:角色代表了一组用户或实体,这些用户或实体在系统中具有相似的权限需求或角色职责。例如,一个系统可以定义角色如管理员、编辑、普通用户等。:权限是指用户或实体可以执行的操作或访问的资源。每个角色都被赋予一组权限,这些权限决定了该角色能够进行的操作。
grpc.WithInsecure已弃用
Jzin的博客
10-06 1259
grpc.WithInsecure()已弃用
Golang开发gRPC应用
Mr.X
06-01 778
Golang开发gRPC应用简单示例
grpc-web-devtools:适用于Chrome的gRPC调试器
01-31
开发人员检出并切换到debugger分支在grpc-web运行cd ts && npm install && npm run lib:build && npm link ,以使用新的调试器界面创建到grpc网站的符号链接npm i && npm run build或npm run watch 在grpc-web-...
grpc-http-proxy:反向代理服务器,它基于protoreflect将JSON HTTP请求转换为gRPC调用
02-03
grpc-http-proxy :warning_selector: 这还没准备好生产 grpc-http-proxy是一个反向代理,无需太多配置即可将JSON HTTP请求转换为... 对grpc-http-proxy的端点/v1/<service>/的请求将使代理调用<service> gRPC服务的方
protoc-gen-grpc-java-1.40.0-osx-aarch_64.exe
09-16
protoc-gen-grpc-java-1.40.0-osx-aarch_64 mac arm芯片平台grpc生成java的支持。官网上面没有,这是基于源码编译生成的。 pom.xml:(protoc-gen-grpc-java-1.40.0.pom) <?xml version="1.0" encoding="UTF-8"?> ...
grpc-api-1.24.0-API文档-中文版.zip
05-09
赠送jar包:grpc-api-1.24.0.jar; 赠送原API文档:grpc-api-1.24.0-javadoc.jar; 赠送源代码:grpc-api-1.24.0-sources.jar; 赠送Maven依赖信息文件:grpc-api-1.24.0.pom; 包含翻译后的API文档:grpc-api-...
LQH入职第二天(3)
weixin_42282999的博客
05-19 224
1、grpc学习 (1)grpc.Dial()建立连接过程 (2)没有证书,所以使用grpc.WithInsecure()跳过了证书验证 (3)grpc优缺点: 优点: 1、protobuf二进制消息,性能好/效率高(空间和时间效率都很不错) 2、proto文件生成目标代码,简单易用 3、序列化反序列化直接对应程序中的数据类,不需要解析后在进行映射(XML,JSON都是这种方式) 4、支持向前兼容(新加字段采用默认值)和向后兼容(忽略新加字段),简化升级 5、支持多种语言(可以把proto文件看做IDL文
grpc报错 grpc.WithInsecure is deprecated: use insecure.NewCredentials() instead
运维也不仅仅是运维
02-11 2950
grpc.WithInsecure is deprecated: use insecure.NewCredentials() instead
java高可用grpc_Java中使用GRPCTLS认证)
weixin_39664774的博客
12-23 594
0.编写.protosyntax = "proto3";option java_multiple_files = true;option java_package = "io.grpc.examples.helloworld";option java_outer_classname = "HelloWorldProto";option objc_class_prefix = "HLW";packa...
gRPCgRPC认证
YIYIYI
09-11 1096
gRPCgRPC认证
史上最细gRPC(Go)入门教程(十二)---客户端负载均衡
探索云原生
05-29 2565
本文主要介绍了 gRPC 内置的负载均衡策略及其配置与使用,包括 Name Resolver、ServiceConfig 等。 gRPC 系列相关代码见 Github 1. 概述 gRPC 负载均衡包括客户端负载均衡和服务端负载均衡两种方向。本文主要介绍的是客户端负载均衡。 gRPC 的客户端负载均衡主要分为两个部...
Golang——gRPC与ProtoBuf介绍
最新发布
weixin_57023347的博客
06-06 1454
服务架构中,由于每个服务对应的代码库是独立运行的,无法直接调用,彼此之间的通信就是一个大问题。gRPC可以实现微服务,将大的项目拆分为多个小且独立的业务模块,也就是服务,各个服务使用高效的protobuf协议进行RPC调用,gRPC默认使用protocol buffers,这个是google开源的一套成熟的结构数据序列化机制,当然也可以使用其它数据结构如JSON。可以用proto files创建gRPC服务,用message类型来定义方法参数和返回类型。
gRPC 快速体验(6):证书验证
Devin_S的博客
09-07 1012
还记得前面章节中gRPC服务中客户端在链接服务器中通过 grpc.WithInsecure() 选项跳过了对服务证书的验证吗?为了保障gRPC通信不被第三方监听篡改或伪造,我们试一下对服务器启动TLS加密特性。
.NetCore3.1 gRPC pem证书使用
qq_17056391的博客
03-15 1098
.NetCore3.1 gRPC pem证书使用 juster zhu juster zhu Microsoft MVP 2 人赞同了该文章 一、概要 本文章主要讲述pem文件在gRPC中的应用,本文章所应用的程序版本是.net core3.1。在这里向大家分享一下,避免踩坑。 二、简介 什么是pem文件? 如何生成pem文件? 如何校验生成好的pem文件? 如何应用到项目里? 三、主要内容 什么是pem文件? pem文件是一个文件格式,存储证书(cacert.pem)和密钥(privkey.pem)pe
gRPC SSL加密传输数据实例(C++版)
chenwr2018的博客
04-23 7127
一、grpc SSL源码分析 官方文档说明 gRPC – Authentication gRPC 官方文档中文版_V1.0 由于车载终端开发语言为C++,大致查阅了一下官方相关的文档,文档描述的内容比较简单。 服务端认证加密使用的 SSL/TLS 这是个最简单的认证场景:一个客户端仅仅想认证服务器并且加密所有数据。 1.客户端处理流程 // Create a default SSL Channel...
grpc-server-spring-boot-starter
07-30
grpc-server-spring-boot-starter是一个基于Spring Boot框架的gRPC服务器的启动器。gRPC(Google Remote Procedure Call)是一种高性能的远程过程调用框架,它使用Protocol Buffers作为接口定义语言,并支持多种编程语言。 grpc-server-spring-boot-starter提供了一系列简化配置和集成的功能,使得在Spring Boot应用中启动和配置gRPC服务器变得更加容易。它提供了自动装配的功能,可以根据应用的配置自动创建和启动gRPC服务器。用户只需要在配置文件中设置相应的参数,如服务器的端口号、TLS证书等,即可完成服务器的启动配置。 在使用grpc-server-spring-boot-starter时,用户可以方便地定义服务接口和实现类。通过使用gRPC的接口定义语言(protobuf)定义接口,并生成对应的Java代码。然后,用户只需要在实现类中实现相应的接口方法即可。 在服务器启动后,grpc-server-spring-boot-starter会根据定义的接口和实现类,自动创建相应的gRPC服务,并将其注册到服务器中。当客户端发起远程调用时,服务器会根据接口定义和方法参数,将请求转发给对应的实现类,并返回执行结果给客户端。 grpc-server-spring-boot-starter还支持对gRPC服务器进行拦截器的配置。拦截器可以在请求和响应的过程中拦截和修改消息,用于实现日志记录、鉴权、性能监控等功能。 总之,grpc-server-spring-boot-starter简化了在Spring Boot应用中使用gRPC的配置和集成过程,使得开发者可以更加便捷地构建和部署gRPC服务器。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

InterestingFigure

迈克 Let's Go

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值