【gRPC】来聊一聊gRPC的认证

最新推荐文章于 2024-07-14 18:22:49 发布
最新推荐文章于 2024-07-14 18:22:49 发布
阅读量924 收藏 1
点赞数
分类专栏: RPC golang学习 文章标签: TLS grpc openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37322399/article/details/117308623
版权
本文详细介绍了gRPC的认证机制,重点关注了SSL/TLS和基于Token的认证方式。讨论了SSL/TLS协议的工作原理,包括X.509证书、密钥对以及提供的安全保障。此外,还提供了环境搭建、TLS证书制作的步骤,并给出了一个DEMO,展示如何在gRPC中实现SSL/TLS和基于Token的认证。最后,文章鼓励读者持续学习,拥抱技术的变化。
摘要由CSDN通过智能技术生成

文章目录

gRPC认证

我们再来回顾一下gRPC的基本结构

gRPC 是一个典型的C/S模型,需要开发客户端 和 服务端,客户端与服务端需要达成协议,使用某一个确认的传输协议来传输数据,gRPC通常默认是使用protobuf来作为传输协议,当然也是可以使用其他自定义的。

那么,客户端与服务端要通信之前,客户端如何知道自己的数据是发给哪一个明确的服务端呢?反过来,服务端是不是也需要有一种方式来弄个清楚自己的数据要返回给谁呢?

那么就不得不提gRPC的认证

认证方式

此处说到的认证,不是用户的身份认证而是指多个server 和 多个client之间,如何识别对方是谁,并且可以安全的进行数据传输

  • SSL/TLS认证方式(采用http2协议)
  • 基于Token的认证方式(基于安全连接)
  • 不采用任何措施的连接,这是不安全的连接(默认采用http1)
  • 自定义的身份认证,gRPC提供了接口用于扩展自定义认证方式

今天就和大家分享一下 SSL/TLS认证方式基于Token的认证方式 ,这里再来回顾一下上一篇讲到的

gRPC消息传输的四种类型

  • 请求-响应式
  • 服务端流式消息,客户端请求一次,服务端会一一系列的数据,即数据流
  • 客户端流式消息,客户端用数据流请求,服务端做响应
  • 双向流的方式,即双方都是流式数据

简单的例子:

service Example{
	rpc ReqAndRsp(Req) returns (Response)
	rpc ReqAndStream(Req) returns (Stream Response)
	rpc StreamAndRsp(Stream Request) returns (Response)
	rpc BidStream(Stream Request) returns (Stream response)
}

SSL/TLS认证方式

那么什么是SSL/TLS?

TLS(Transport Layer Security) 是 SSL(Secure Socket Layer) 的后续版本,它们是用于在互联网两台计算机之间用于身份验证和加密的一种协议。

基于SSL/TLS的通道加密是gRPC常用的手段,那么一般我们都是如何运用他的,他的架构一般会是啥样的?

GRPC 默认是基于HTTP/2的TLS 对客户端和服务端交换的所有数据进行加密传输的

那么HTTP 2 默认就有加密吗?

HTTP 2 协议默认是没有加密的,它只是预先定义好了TLS的轮廓,是TLS保证安全性,TLS做的加密

HTTP 2 有啥特性?

这里简单说一下,HTTP 2 较之前的版本有如下4个重要的变化:

  • 二进制分帧

将所有传输的信息分割为更小的消息和帧,并对它们采用二进制格式的编码

  • 多路io复用

在共享TCP链接的基础上同时发送请求和响应,http消息被分解为独立的帧,乱序发送,服务端根据标识符和首部将消息重新组装起来

  • 头部压缩
  • 服务器推送 server push

服务器可以额外的向客户端推送资源,而无需客户端明确的请求

SSL/TLS加密的基本做法是啥?

SSL/TLS 通过将称为X.509 证书的数字文档将网站和公司的实体信息绑定到加密密钥来进行工作。

每一个密钥对(key pairs)都有一个私有密钥(private key)公有密钥(public key),私有密钥是独有的,一般位于服务器上,用于解密由公共密钥加密过的信息;

公有密钥是公有的,与服务器进行交互的每个人都可以持有公有密钥,用公钥加密的信息只能由私有密钥来解密。

简单来说就是

SSL/TLS协议,客户端向服务器端索要公钥,然后用公钥加密信息,服务器收到密文后,用自己的私钥解密。

SSL/TLS协议提供啥服务呢?

  • 认证用户和服务器,确保数据发送到正确的客户端和服务器;

  • 加密数据以防止数据中途被窃取;

  • 维护数据的完整性,确保数据在传输过程中不被改变;

SSL/TLS协议提供的安全通道有哪些特性呢?

  • 机密性:SSL协议使用密钥加密通信数据。

  • 可靠性:服务器和客户端都会被认证,客户端的认证是可选的。

  • 完整性:SSL协议会对传送的数据进行完整性检查。

说了这么多,我们来演示一下gRPC的 SSL/TLS协议如何实践吧

必要环境搭建

OpenSSL安装
  • 官方下载地址: https://www.openssl.org/source/,直接下载最新的吧,openssl-3.0.0-alpha17.tar.gz

解压源代码

tar xzvf openssl-3.0.0-alpha17.tar.gz

进入源代码目录

cd openssl-3.0.0-alpha17

编译和安装

./Configure
make
sudo make install

安装结束后,使用 openssl version 查看openssl 版本号

若报错如下信息:

openssl: error while loading shared libraries: libssl.so.3: cannot open shared object file: No such file or directory

通常情况下只需要建一个软链接,链接过去即可

sudo ln -s /usr/local/lib/libssl.so.3 /usr/lib/libssl.so.3
sudo ln -s /usr/local/lib/libcrypto.so.3 /usr/lib/libcrypto.so.3

TLS证书制作

如下是一张生成key的简单方式,不适用go1.15之后的版本,go1.15已经弃用了 x509

# 制作私钥
openssl genrsa -out server.key 2048

openssl ecparam -genkey -name secp384r1 -out server.key

# 自签名公钥 ,设置有效时间365 天
openssl req -new -x509 -sha256 -key server.key -out server.pem -days 365

一个DEMO

开始使用上述生成的key

.
├── client
│ ├── keys
│ │ ├── server.key
│ │ └── server.pem
│ ├── main.go
│ ├── myclient
│ └── protoc
│ └── hi
│ ├── hi.pb.go
│ └── hi.proto
└── server
├── keys
│ ├── server.key
│ └── server.pem
├── main.go
├── myserver
└── protoc
└── hi
├── hi.pb.go
└── hi.proto

hi.proto

将proto编译成pb.go文件

protoc --go_out=plugins=grpc:. hi.proto

syntax = "proto3"; // 指定proto版本
package hi;     // 指定默认包名

// 指定golang包名
option go_package = "hi";

// 定义Hi服务
service Hi {
// 定义SayHi方法
rpc SayHi(HiRequest) returns (HiResponse) {}
}

// HiRequest 请求结构
message HiRequest {
string name = 1;
}

// HiResponse 响应结构
message HiResponse {
string message = 1;
}

server/main.go

package main

import (
   "fmt"
   "log"
   "net"

   pb "myserver/protoc/hi"

   "golang.org/x/net/context"
   "google.golang.org/grpc"
   "google.golang.org/grpc/credentials" // 引入grpc认证包
)

const (
   // Address gRPC服务地址
   Address = "127.0.0.1:9999"
)

// 定义HiService并实现约定的接口
type HiService struct{
   }

// HiService Hello服务
var HiSer = HiService{
   }

// SayHi 实现Hi服务接口
func (h HiService) SayHi(ctx context.Context, in *pb.HiRequest) (*pb.HiResponse,
最低0.47元/天 解锁文章
阿兵云原生
关注
专栏目录
.netcore grpc身份验证和授权
qq_31975127的博客
08-18 1661
1)引入IdentityServer4、IdentityServer4.AccessTokenValidation、Microsoft.AspNetCore.Authentication.JwtBearer包。2)gRPC工厂中配置token传递 或者在调用对应的客户端函数中对metadata传参。链接:https://pan.baidu.com/s/1viu-REcR-ySdR0FE05sohg。(grpc专栏结束后会开启鉴权授权专栏欢迎大家关注)1)调用鉴权中心获取token。第三步:WPF客户端。
grpc、https、oauth2等认证专栏实战15:grpc双向认证介绍
码二哥的技术池
10-24 766
2.3.1、第一步:生成服务器端密钥和服务器端证书签名 (非SAN类型,客户端不需要被访问,不需要添加额外的域名)请求域名www.golang-server.cn要在客户端一侧进行配置,因为是在客户端一侧进行的发起的访问请求。2.2.1、第一步:生成服务器端密钥和服务器端证书签名 (SAN类型,即多个域名生效)4  grpcoauth2、openssl、双向认证、单向认证等专栏文章目录。2.2.2、第二步:根据CA证书,来颁发服务器端证书。2.3.2、第二步:根据CA证书,来颁发客户端证书。
gRPCgRPC认证
YIYIYI
09-11 1090
gRPCgRPC认证
gRPC 进阶——Validator 验证器
最新发布
MPY_3的博客
07-14 1911
gRPC 验证器(Validator)是一种用于在 gRPC 通信过程中进行数据验证的工具,通过在 .proto 文件中定义验证规则(例如长度限制、格式检查等),确保客户端和服务器之间传递的数据符合预期的格式和约束条件。它使用 Protocol Buffers 作为序列化机制,并通过生成的代码在传输过程中自动执行这些验证规则,从而提高系统的可靠性和安全性。
gRPC认证
qq_53267860的博客
05-30 1055
目录gRPC认证1. 生成自签证书2. 服务端应用证书3. 客户端认证4. 双向认证5. Token认证5.1 服务端添加用户名密码的校验5.2 客户端实现 gRPC认证 客户端和服务端之间调用,我们可以通过加入证书的方式,实现调用的安全性 TLSTransport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。 T
(精华)2020年10月28日 Grpc Grpc身份认证和授权
热门推荐
时光隧道
10-24 30万+
一.引言 本文主要讲 ASP.NET Core 本身的认证授权和gRPC接入,认证方式采用目前主流的 JWT 结合 IdentityServer4。 二.服务端配置 我们首先需要在服务端配置认证和授权。gRPC基于此文的Demo来开始:IdentityServer 基于此文Demo: https://www.cnblogs.com/stulzq/p/7509648.html 。 配置 1.首先启动 IdentityServer4 地址为:http://localhost:5000 2.为gRPC项目安装Jw
gRPC 的调用认证
qq_46457076的博客
02-25 759
关于 gRPC 的调用认证介绍!
2gRPC2gRPC2gRPC2gRPC
04-22
在"Zhaoxi.AspNetCore31.AuthDemo"这个项目中,很可能是一个使用ASP.NET Core 3.1实现的gRPC示例,其中包含了认证和授权的实现。ASP.NET Core 3.1是微软推出的Web开发框架,它集成了gRPC支持,允许开发者轻松创建...
24. 【gRPC系列学习】gRPC安全认证-TLS认证
菜鸟的博客
12-24 836
gRPC 安全认证-TLS认证
23. 【gRPC系列学习】gRPC安全认证-JWT认证
菜鸟的博客
12-24 945
gRPC安全认证-JWT认证
grpc-auth-example:使用gRPC进行客户端身份验证的示例
04-29
grpc-auth-example 使用gRPC进行客户端身份验证的示例。 显示了服务器端和客户端实现。 所有身份验证均在实现的服务器端拦截器中执行。 TLS客户端证书认证 第一种身份验证使用TLS证书主题来验证正确的客户端正在连接。 当然,这仅依赖于颁发证书颁发机构,该颁发机构仅颁发具有适用于正确服务的正确主题的证书,但这不在此存储库的范围之内。 在客户端,我们创建具有适当主题的证书: pk , err := rsa . GenerateKey ( rand . Reader , 2048 ) if err != nil { return nil , err } template := & x509. Certificate { SerialNumber : serialNumber , Subject : pkix. Name { Orga
grpc-credentials
05-11
一个简单的库,用于将OIDC JWT添加到gRPC请求。
Go中具有相互TLS和令牌身份验证的两个grpc微服务-Golang开发
05-26
//创建配置路径$ HOME / .hello make init //生成用于相互TLS和JWT签名的密钥和证书//需要安装cfssl和cfssljson // https://cfssl.org/ make gencert //构建二进制文件/ / require dep,protoc and protoc //创建配置路径$ HOME / .hello make init //生成用于相互TLS和JWT签名的密钥和证书//需要安装cfssl和cfssljson // https://cfssl.org/ make gencert //构建二进制文件//需要安装dep,protoc和protoc-gen-go // https://github.com/golang/dep // https://github.com/google/protobuf // https:/ /developers.google.com/protocol-buffers/docs/reference/go-made make build //启动hello服务./bin/hello-server //启
go-grpc-middleware:Golang gRPC中间件:拦截器链接,身份验证,日志记录,重试等
02-03
使用gRPC中间件 中间件:拦截器,助手,实用程序。 中间件 最近获得了对Interceptor的支持,即在将请求传递到用户的应用程序逻辑之前在gRPC服务器上执行的,或者在用户调用周围的gRPC客户端上执行的中间件。 这是实现常见模式的理想方法:身份验证,日志记录,消息,验证,重试或监视。 这些是通用的构建块,可以轻松轻松地构建多个微服务。 该存储库的目的是充当此类可重用功能的起点。 它包含其中一些本身,但也将链接到有用的外部存储库。 grpc_middleware本身提供对链接拦截器的支持,这是一个示例: import "github.com/grpc-ecosystem/go-g
Go-GolanggRPC中间件拦截器链接验证日志记录重试等
08-13
Golang gRPC中间件:拦截器链接,验证,日志记录,重试等
grpc介绍(二)——认证方式
www_dong的博客
10-04 1672
grpc认证方式介绍
gRPC(七)进阶:自定义身份验证
林钟一的博客
11-10 1456
基于 CA 的 TLS 证书认证而在实际需求中,常常会对某些模块的 RPC 方法做特殊认证或校验,而gRPC也专门提供了这类特殊认证的接口。gRPC为每个gRPC方法调用提供了Token认证支持,可以基于用户传入的Token判断用户是否登陆、以及权限等,实现Token认证的前提是,需要定义一个结构体,并实现接口。1)客户端请求时带上 Credentials;2)服务端取出 Credentials,并验证有效性,一般配合拦截器使用(这里我们使用两种方法,拦截器以及RPC方法)。
grpc验证字段
不负韶华梦为马
02-22 1359
安装 go get -u github.com/envoyproxy/protoc-gen-validate 使用方法:float order_money = 4[(validate.rules).float.gt = 1]; message OrderMain { int32 order_id = 1; string order_no = 2; int32...
golang grpc双向认证
07-27
gRPC是一种高性能、开源的远程过程调用(RPC)框架,它使用Protocol Buffers作为接口定义语言(IDL)。双向认证是指在进行gRPC通信时,服务端和客户端都需要进行身份验证。在gRPC中,双向认证可以通过使用TLS/SSL证书来实现。 在gRPC中实现双向认证需要以下步骤: 1. 生成证书:首先,需要生成服务端和客户端的证书。可以使用openssl或其他工具来生成证书和私钥。 2. 配置TLS/SSL:服务端和客户端都需要配置TLS/SSL来启用加密通信。服务端需要加载证书和私钥,而客户端需要加载服务端的证书用于验证服务端身份。 3. 配置双向认证:服务端和客户端都需要配置双向认证。服务端需要验证客户端的证书,而客户端需要验证服务端的证书。 4. 实现认证逻辑:在服务端和客户端的代码中,需要实现证书验证逻辑。可以使用TLS配置中的回调函数来进行验证。 可以参考引用\[2\]中提供的gRPC-Gateway和引用\[3\]中的依赖安装命令来实现gRPC双向认证。这些工具和库可以帮助简化双向认证的实现过程。 总结起来,golang中实现gRPC双向认证的步骤包括生成证书、配置TLS/SSL、配置双向认证和实现认证逻辑。通过这些步骤,可以确保服务端和客户端之间的通信是安全和可信的。 #### 引用[.reference_title] - *1* [Go Grpc Jwt身份认证和Gateway集成以及HTTPS双向认证](https://blog.csdn.net/dz45693/article/details/112180692)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [【gRPC】双向认证grpc-gateway原理及简单使用](https://blog.csdn.net/dl962454/article/details/124384299)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值