grpc加TLS加密和令牌认证

最新推荐文章于 2024-07-05 01:00:06 发布
最新推荐文章于 2024-07-05 01:00:06 发布
阅读量7.1k 收藏 4
点赞数 1
分类专栏: C/C++ Golang 网游开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jq0123/article/details/84527150
版权
C/C++ 同时被 3 个专栏收录
216 篇文章 5 订阅
订阅专栏
网游开发
108 篇文章 2 订阅
订阅专栏
Golang
24 篇文章 3 订阅
订阅专栏

grpc加TLS加密和令牌认证

(金庆的专栏 2018.11)

用 golang 创建 grpc 服务,开启 TLS 加密,并采用令牌认证。
然后用 C++ 和 golang 分别创建客户端连接服务器。

参考:
https://segmentfault.com/a/1190000007933303

服务器

import (
	...
	grpc_auth "github.com/grpc-ecosystem/go-grpc-middleware/auth"
	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
)

func main() {
	listen, err := net.Listen("tcp", ":12345")
	if err != nil {
		grpclog.Fatalf("failed to listen: %v", err)
	}
	
	// TLS认证
	creds, err := credentials.NewServerTLSFromFile("keys/server.crt", "keys/server.key")
	if err != nil {
		grpclog.Fatalf("Failed to generate credentials %v", err)
	}
	
	// 实例化grpc Server, 并开启TLS认证
	s := grpc.NewServer(grpc.Creds(creds),
		grpc.UnaryInterceptor(grpc_auth.UnaryServerInterceptor(auth.Authenticate)),
		grpc.StreamInterceptor(grpc_auth.StreamServerInterceptor(auth.Authenticate)))
	
	// 注册HelloService
	pb.RegisterHelloServer(s, HelloService)
	grpclog.Println("Listen on " + Address + " with TLS")
	s.Serve(listen)
}

其中 server.key 是私钥,server.crt 是自签名证书,如下生成:

$ openssl genrsa -out server.key 2048
$ openssl req -new -x509 -sha256 -key server.key \
 -out server.crt -days 36500 \
 -subj /C=CN/ST=Shanghai/L=Songjiang/O=ztgame/OU=tech/CN=mydomain.ztgame.com/emailAddress=myname@ztgame.com

查看证书文件

$ openssl x509 -in server.crt -noout -text

auth.Authenticate 如下,作为 interceptor, 对每个请求进行令牌验证。

package auth

import (
	"context"
	"sync"

	"google.golang.org/grpc/codes"
	"google.golang.org/grpc/metadata"
	"google.golang.org/grpc/status"
)

// from token.yaml file
var tokenToAppName = &sync.Map{}

func init() {
	tokenToAppName.Store("test", "test")
}

// XXX load tokenToAppName from file

// Authenticate checks that a token exists and is valid.
// It removes the token from the context and
//  stores the app name of the token in the returned context
func Authenticate(ctx context.Context) (context.Context, error) {
	token, err := extractHeader(ctx, "authorization-token")
	if err != nil {
		return ctx, err
	}
	// Remove token from headers from here on
	ctx = purgeHeader(ctx, "authorization-token")

	valAppName, ok := tokenToAppName.Load(token)
	if !ok {
		return ctx, status.Errorf(codes.Unauthenticated, "no app for token '%s'", token)
	}
	appName := valAppName.(string)
	return context.WithValue(ctx, keyAppName{}, appName), nil
}

func extractHeader(ctx context.Context, header string) (string, error) {
	md, ok := metadata.FromIncomingContext(ctx)
	if !ok {
		return "", status.Error(codes.Unauthenticated, "no headers in request")
	}

	authHeaders, ok := md[header]
	if !ok {
		return "", status.Error(codes.Unauthenticated, "no header in request")
	}

	if len(authHeaders) != 1 {
		return "", status.Error(codes.Unauthenticated, "more than 1 header in request")
	}

	return authHeaders[0], nil
}

func purgeHeader(ctx context.Context, header string) context.Context {
	md, _ := metadata.FromIncomingContext(ctx)
	mdCopy := md.Copy()
	mdCopy[header] = nil
	return metadata.NewIncomingContext(ctx, mdCopy)
}

type keyAppName struct{}

// GetAppName can be used to extract app name stored in a context.
func GetAppName(ctx context.Context) string {
	// Authenticate()之后必然存在app name
	return ctx.Value(keyAppName{}).(string)
}

tokenToAppName 是一个map, 将合法的令牌映射为应用名。
每个应用(即用户)分配一个令牌,根据令牌可查到该用户是否合法,以及用户的其他信息。
这里只需要应用名。

每个请求将调用 Authenticate(), 该方法将从 http 头获取请求的令牌,查找对应的应用名,
ctx 中将删除令牌,替换成应用名。

GetAppName()将从 ctx 中获取应用名。

服务方法实现如下:

func (s MailServer) Get(ctx context.Context, r *pb.GetRequest) (*pb.GetResponse, error) {
	app := auth.GetAppName(ctx)
	body, err := db.NewGetter(app).GetMailBody(r.MailIndex)
	return &pb.GetResponse{
		Result: getResult(err),
		Body:   body,
	}, nil
}

先获取应用名,然后根据应用名获取相应的数据返回。

客户端

golang

	// Create the client TLS credentials
	creds, err := credentials.NewClientTLSFromFile("key/server.crt", "mydomain.ztgame.com")
	if err != nil {
		panic(fmt.Errorf("could not load tls cert: %s", err))
	}

	// We don't need to error here, as this creates a pool and connections
	// will happen later
	conn, _ := grpc.Dial(
		serviceURL,
		grpc.WithTransportCredentials(creds),
		grpc.WithPerRPCCredentials(auth.TokenAuth{
			Token: "test",
		}))

	cli := pb.NewMailClient(conn)

客户端只需要 server.crt, 其中包含服务器的公钥。
NewClientTLSFromFile() 的第2个参数是个域名,是 server.crt 中的域名。
目前测试阶段还没有正式域名设置,所以输入一个指定域名用于验证 server.crt 中的域名。
生产环境运行时,应该不需要这个域名,可以直接查询 DNS 进行验证。

Dial() 输入一个 WithPerRPCCredentials 用于令牌验证。

auth.TokenAuth 需要实现 PerRPCCredentials 接口:

package auth

import (
	"context"
)

type TokenAuth struct {
	Token string
}

func (t TokenAuth) GetRequestMetadata(ctx context.Context, in ...string) (map[string]string, error) {
	return map[string]string{
		"authorization-token": t.Token,
	}, nil
}

func (TokenAuth) RequireTransportSecurity() bool {
	return true
}

“authorization-token” 是客户端和服务器约定好的http认证头字符串。

C++

C++ 端的客户端代码比golang的稍复杂,因为 grpc C++ 库没有 grpc-go 成熟。

代码参照 grpc 示例 greeter_async_client2.cc:

int main(int argc, char** argv) {
    grpc::SslCredentialsOptions ssl_options;
    ssl_options.pem_root_certs = SERVER_CRT;
    // Create a default SSL ChannelCredentials object.
    auto channel_creds = grpc::SslCredentials(ssl_options);
    grpc::ChannelArguments cargs;
    cargs.SetSslTargetNameOverride("mydomain.ztgame.com");  // 如果加了 DNS 就不用这个了

    auto call_creds = grpc::MetadataCredentialsFromPlugin(
        std::unique_ptr<grpc::MetadataCredentialsPlugin>(new TokenAuthenticator(TOKEN)));

    auto compsited_creds = grpc::CompositeChannelCredentials(channel_creds, call_creds);

    // Create a channel using the credentials created in the previous step.
    auto channel = grpc::CreateCustomChannel("1.2.3.4:8000", compsited_creds, cargs);

    // Instantiate the client.
    MailClient tester(channel);
    ...

    return 0;
}

因为 C++ 没有提供从文件读取 server.crt 的接口,所以在此直接用了一个常量字符串:

    ssl_options.pem_root_certs = SERVER_CRT;

SERVER_CRT 定义如下:

// server.crt 的内容
const char SERVER_CRT[] = R"(
-----BEGIN CERTIFICATE-----
TjERMA8GA1UECAwIU2hhbmdoYWkxEjAQBgNVBAcMCVNvbmdqaWFuZzEPMA0GA1UE
...
E6v50RCQgtWGmna+oy1I2UTVABdjBFnyKPEuz106mBfOhT6cg80hBHVgrV7sLHq8
76QolJm8yzZPL1qpiO4dKHHsCP6R
-----END CERTIFICATE-----
)";

TokenAuthenticator 定义如下,是个自定义认证插件:

// TokenAuthenticator 用来支持令牌认证
// https://grpc.io/docs/guides/auth.html
class TokenAuthenticator : public grpc::MetadataCredentialsPlugin {
public:
  TokenAuthenticator(const std::string& token) : token_(token) {}

  grpc::Status GetMetadata(
      grpc::string_ref service_url, grpc::string_ref method_name,
      const grpc::AuthContext& channel_auth_context,
      std::multimap<grpc::string, grpc::string>* metadata) override {
    metadata->insert(std::make_pair("authorization-token", token_));
    return grpc::Status::OK;
  }

private:
  std::string token_;
};
金庆
关注
专栏目录
gRPC(五)进阶:通过TLS建立安全连接
林钟一的博客
11-04 4864
传输层安全 (TLS) 对通过 Internet 发送的数据进行加密,以确保窃听者和黑客无法看到您传输的内容,这对于密码、信用卡号和个人通信等私人和敏感信息特别有用。传输层安全 (TLS) 是一种 Internet 工程任务组 ( IETF ) 标准协议,可在两个通信计算机应用程序之间提供身份验证、隐私和数据完整性。它是当今使用最广泛部署的安全协议,最适合需要通过网络安全交换数据的 Web 浏览器和其他应用程序。
Secure gRPC with TLS/SSL
weixin_34174132的博客
07-12 337
摘自:http://bbengfort.github.io/programmer/2017/03/03/secure-grpc.html Secure gRPC with TLS/SSL 03 Mar 2017 One of the primary requirements for the systems we build is something we call the “minimu...
在Apache HTTP服务器上配置TLS加密
最新发布
ouqisheng的博客
07-05 928
默认情况下,Apache 使⽤未加密的 HTTP 连接向客⼾端提供内容。
gRpc中的TLS验证
向宪章的博客
06-07 2162
/*-=权认证 gRpc中默认支持两种授权,SSL/TLS认证方式、基于Token的认证方式 1.1 SSL/TLS认证方式 SSL全称是Secure Sockets Layer,又被称之为安全套接字层,是一种标准安全协议,用于在通信过程中建立客户端与服务器之间的加密连接。 TLS的全称是Transport Layer Security,TLSSSL的升级版本。在使用额过程中,往往习惯于将SSLTLS组合在一起,统称为SSL/TLS。 简而言之,SSL/TLS是一种用于网络通信中加密的安全协议。 1.2
带入gRPCTLS 证书认证
weixin_34365417的博客
10-07 2806
带入gRPCTLS 证书认证 原文地址:带入gRPCTLS 证书认证项目地址:https://github.com/EDDYCJY/go... 前言 在前面的章节里,我们介绍了 gRPC 的四种 API 使用方式。是不是很简单呢
gRPC对于的TLS实现
Krien666的博客
04-26 617
就是我们生成的pem后缀的证书文件,第二个是私钥,储存在服务器端,非常安全。文件里配置的域名一致,不然会报错(真实情景中请求域是从浏览器中获取的)类型定义:NewServerTLSFromFile里面有两个参数。方法里放入两个参数,分别是pem证书文件,和请求域,请求域名和。就行了,服务器端就修改好了。
c++客户端 grpc_grpcTLS加密令牌认证
weixin_39587238的博客
12-21 989
grpcTLS加密令牌认证(金庆的专栏 2018.11)用 golang 创建 grpc 服务,开启 TLS 加密,并采用令牌认证。然后用 C++ 和 golang 分别创建客户端连接服务器。参考:https://segmentfault.com/a/1190000007933303服务器import (...grpc_auth "github.com/grpc-ecosystem/go-gr...
C++的gRPC资源包
08-24
同时,它支持元数据交换,允许传递额外的信息,如认证令牌或自定义头部。 **测试与调试** gRPC提供了测试框架,可以方便地对服务进行单元测试和集成测试。另外,gRPC还有一套强大的tracing系统,可以帮助开发者...
Python 客户端如何在 gRPC 中实现认证和授权
然后,我们将重点介绍在 Python 中如何使用 gRPC 客户端来实现认证和授权,以保障通信的安全性和可靠性。 ## 1.2 认证和授权的重要性 认证和授权作为网络通信中至关重要的部分,帮助确保通信双方的身份验证和权限...
gRPC 中的安全机制与认证授权策略详解
# 1. 介绍 ## 1.1 gRPC 简介 gRPC 是一种高性能、开源和通用的远程过程调用(RPC)框架,由谷歌公司开发...在分布式系统中,信息的安全传输、用户身份认证和访问控制等都是不可忽视的问题。因此,了解 gRPC 的安全机
grpc 实现oauth ssl
10-28
1. **SSL/TLS集成**:为了实现gRPC加密通信,我们需要配置SSL/TLS。首先,你需要获取一个SSL证书,可以是自签名的,也可以是权威CA签发的。然后,在gRPC服务器和客户端配置中,分别设置证书和私钥,以启用双向TLS...
grpctlsgrpctlsgrpctlsgrpctls
12-28
grpctlsgrpctls
Go中具有相互TLS令牌身份验证的两个grpc微服务-Golang开发
05-26
//创建配置路径$ HOME / .hello make init //生成用于相互TLS和JWT签名的密钥和证书//需要安装cfssl和cfssljson // https://cfssl.org/ make gencert //构建二进制文件/ / require dep,protoc and protoc //创建配置路径$ HOME / .hello make init //生成用于相互TLS和JWT签名的密钥和证书//需要安装cfssl和cfssljson // https://cfssl.org/ make gencert //构建二进制文件//需要安装dep,protoc和protoc-gen-go // https://github.com/golang/dep // https://github.com/google/protobuf // https:/ /developers.google.com/protocol-buffers/docs/reference/go-made make build //启动hello服务./bin/hello-server //启
gPRC之TLS双向认证
jannal专栏
08-09 270
gRPC java TLS 双向认证
grpcTLS认证使用
a...Z
06-02 580
Tls证书认证 安装证书 私钥 openssl ecparam -genkey -name secp384r1 -out server.key openssl genrsa:生成RSA私钥,命令的最后一个参数,将指定生成密钥的位数,如果没有指定,默认512 openssl ecparam:生成ECC私钥,命令为椭圆曲线密钥参数生成及操作,本文中ECC曲线选择的是secp384r1 自签名公钥 openssl req -new -x509 -sha256 -key server.key -out ser
gRPCSSL/TLS单向认证、双向认证、Token认证
qq_56639722的博客
03-09 2496
传输层安全性协议(Transport Layer Security,缩写作 TLS ),其前身安全套接层(Secure Sockets Layer,缩写作 SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。根据传输层安全协议的规范,客户端与服务端的连接安全应该具备连接是私密的或连接是可靠的一种以上的特性。SSL/TLS 协议通过 X.509 证书的数字文档将网站的公司实体信息绑定到加密密钥,每一个密钥对都有一个私有密钥和一个公有密钥。
gRPC教程 — TLS单向认证、双向认证、Token认证、拦截器
Mr_XiMu的博客
05-23 5316
gRPC教程 — TLS单向认证、双向认证、Token认证、拦截器
gRPC入门指南 — 通过TLS建立安全连接(五)
Seekload
07-19 499
点击上方蓝色“Golang来啦”关注我哟个“星标”,天天 15 分钟,掌握 Go 语言前言前几篇文章大家看到的例子,通信双方都是没有经过 TLS 加密的。可以看下下面的抓包数据,都是明文...
24. 【gRPC系列学习】gRPC安全认证-TLS认证
菜鸟的博客
12-24 841
gRPC 安全认证-TLS认证
java grpc tls
06-03
Java gRPC TLS是一种在Java应用程序中实现gRPC通信时使用的加密传输协议。TLS代表传输层安全性(Transport Layer Security),它是一种通用的加密协议,用于保护网络通信中的数据安全。使用TLS可以确保网络通信的...
评论 20
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值