​​Go语言微服务框架实战:7.TLS验证和Token认证

最新推荐文章于 2023-12-25 22:15:00 发布
最新推荐文章于 2023-12-25 22:15:00 发布
阅读量241 收藏
点赞数
分类专栏: 1092278024:交流群-GO语言
原文链接:https://me.csdn.net/qianfeng_dashuju
版权

上节课我们学习掌握了grpc-go框架的四种流模式。在实际的生产环境中,一个功能完整的服务,不仅包含基本的方法调用和数据交互的功能,还包括授权认证,数据追踪,负载均衡等方面。本节课,我们来看一下除了在gRPC调用过程中,如何实现授权认证,以及如何进行拦截处理。

一 授权认证

gRPC中默认支持两种授权方式,分别是:SSL/TLS认证方式、基于Token的认证方式。

1.1 SSL/TLS认证方式

SSL全称是Secure Sockets Layer,又被称之为安全套接字层,是一种标准安全协议,用于在通信过程中建立客户端与服务器之间的加密链接。 TLS的全称是Transport Layer Security,TLS是SSL的升级版。在使用的过程中,往往习惯于将SSL和TLS组合在一起写作SSL/TLS。 简而言之,SSL/TLS是一种用于网络通信中加密的安全协议。

1.1.1 SSL/TLS工作原理

使用SSL/TLS协议对通信连接进行安全加密,是通过非对称加密的方式来实现的。所谓非对称加密方式又称之为公钥加密,密钥对由公钥和私钥两种密钥组成。私钥和公钥成对存在,先生成私钥,通过私钥生成对应的公钥。公钥可以公开,私钥进行妥善保存。

在加密过程中:客户端想要向服务器发起链接,首先会先向服务端请求要加密的公钥。获取到公钥后客户端使用公钥将信息进行加密,服务端接收到加密信息,使用私钥对信息进行解密并进行其他后续处理,完成整个信道加密并实现数据传输的过程。

1.1.2 制作证书

可以自己在本机计算机上安装openssl,并生成相应的证书。

openssl ecparam -genkey -name secp384r1 -out server.key
openssl req -new -x509 -sha256 -key server.key -out server.pem -days 3650

1.1.3 编程实现服务端

type MathManager struct {
}

func (mm *MathManager) AddMethod(ctx context.Context, request *message.RequestArgs) (response *message.Response, err error) {
    fmt.Println(" 服务端 Add方法 ")
    result := request.Args1 + request.Args2
    fmt.Println(" 计算结果是:", result)
    response = new(message.Response)
    response.Code = 1;
    response.Message = "执行成功"
    return response, nil
}

func main() {

    //TLS认证
    creds, err := credentials.NewServerTLSFromFile("./keys/server.pem", "./keys/server.key")
    if err != nil {
        grpclog.Fatal("加载在证书文件失败", err)
    }

    //实例化grpc server, 开启TLS认证
    server := grpc.NewServer(grpc.Creds(creds))

    message.RegisterMathServiceServer(server, new(MathManager))

    lis, err := net.Listen("tcp", ":8092")
    if err != nil {
        panic(err.Error())
    }
    server.Serve(lis)
}

1.1.3 编程实现客户端

func main() {

    //TLS连接
    creds, err := credentials.NewClientTLSFromFile("./keys/server.pem", "go-grpc-example")
    if err != nil {
        panic(err.Error())
    }
    //1、Dail连接
    conn, err := grpc.Dial("localhost:8092", grpc.WithTransportCredentials(creds))
    if err != nil {
        panic(err.Error())
    }
    defer conn.Close()

    serviceClient := message.NewMathServiceClient(conn)

    addArgs := message.RequestArgs{Args1: 3, Args2: 5}

    response, err := serviceClient.AddMethod(context.Background(), &addArgs)
    if err != nil {
        grpclog.Fatal(err.Error())
    }

    fmt.Println(response.GetCode(), response.GetMessage())
}

1.2 基于Token认证方式

1.2.1 Token认证介绍

在web应用的开发过程中,我们往往还会使用另外一种认证方式进行身份验证,那就是:Token认证。基于Token的身份验证是无状态,不需要将用户信息服务存在服务器或者session中。

1.2.2 Token认证过程

基于Token认证的身份验证主要过程是:客户端在发送请求前,首先向服务器发起请求,服务器返回一个生成的token给客户端。客户端将token保存下来,用于后续每次请求时,携带着token参数。服务端在进行处理请求之前,会首先对token进行验证,只有token验证成功了,才会处理并返回相关的数据。

1.2.3 gRPC的自定义Token认证

在gRPC中,允许开发者自定义自己的认证规则,通过

grpc.WithPerRPCCredentials()

设置自定义的认证规则。WithPerRPCCredentials方法接收一个PerRPCCredentials类型的参数,进一步查看可以知道PerRPCCredentials是一个接口,定义如下:

type PerRPCCredentials interface {
    GetRequestMetadata(ctx context.Context, uri ...string) (map[string]string, error)
    RequireTransportSecurity() bool
}

因此,开发者可以实现以上接口,来定义自己的token信息。

在本案例中,我们自定义的token认证结构体如下:

//token认证
type TokenAuthentication struct {
    AppKey    string
    AppSecret string
}

//组织token信息
func (ta *TokenAuthentication) RequestMetaData(ctx context.Context, uri ...string) (map[string]string, error) {
    return map[string]string{
        "appid":    ta.AppKey,
        "appkey": ta.AppSecret,
    }, nil
}

//是否基于TLS认证进行安全传输
func (a *TokenAuthentication) RequireTransportSecurity() bool {
    return true
}

需要注意的是,RequestMetaData方法中的appid和appkey字段均需要保持小写,不能大写。RequireTransportSecurity方法用于设置是否基于tls认证进行安全传输。

在客户端进行连接时,我们将自定义的token认证信息作为参数进行传入。

auth := TokenAuthentication{
        AppKey:    "hello",
        AppSecret: "20190812",
}
conn, err := grpc.Dial("localhost:8093", grpc.WithTransportCredentials(creds), grpc.WithPerRPCCredentials(&auth))
if err != nil {
    panic(err.Error())
}

1.2.4 服务端

在服务端的调用方法中实现对token请求参数的判断,可以通过metadata获取token认证信息。具体实现如下:

func (mm *MathManager) AddMethod(ctx context.Context, request *message.RequestArgs) (response *message.Response, err error) {

    //通过metadata
    md, exist := metadata.FromIncomingContext(ctx)
    if !exist {
        return nil, status.Errorf(codes.Unauthenticated, "无Token认证信息")
    }

    var appKey string
    var appSecret string

    if key, ok := md["appid"]; ok {
        appKey = key[0]
    }

    if secret, ok := md["appkey"]; ok {
        appSecret = secret[0]
    }

    if appKey != "hello" || appSecret != "20190812" {
        return nil, status.Errorf(codes.Unauthenticated, "Token 不合法")
    }
    fmt.Println(" 服务端 Add方法 ")
    result := request.Args1 + request.Args2
    fmt.Println(" 计算结果是:", result)
    response = new(message.Response)
    response.Code = 1;
    response.Message = "执行成功"
    return response, nil
}

最后,运行项目,token认证成功。客户端修改token信息,再次运行,会发现提示token不合法。

Steven老师
关注
专栏目录
grpc-go源码剖析九十五之grpc里如何实现 oauth2.Token方式
码二哥的技术池
10-21 418
从本文开始介绍Token认证方式。 1、客户端一侧,介绍 1.1、参考例子说明 可以使用框架自带的测试用例,如 examples/features/authentication/client/main.go 1.2、测试用例中,是如何获取token? 通过如下代码来获取,测试用例中的第53行: perRPC := oauth.NewOauthAccess(fetchToken()) fetchToken函数,如下: func fetchToken() *oauth2.Token { return &a
开放平台实现安全的身份认证与授权原理与实战微服务架构中的身份认证与授权
AI天才研究院
11-02 166
作者:禅与计算机程序设计艺术 1.背景介绍 身份验证(Authentication)与授权(Authorization)简介 身份验证(Authentication)和授权(Authorizatio
go-go-micro安全tls
.
10-11 678
title: go-go-micro安全tls categories: Go tags: [go, 微服务, tls, 安全] date: 2019-10-11 17:42:57 comments: false go-go-micro安全tls 前篇 a 内置的 tls 证书 是用 micro 默认的 tls 非常简单, 只需要 transport.Secure(true) 即可 fu...
go 基于gin框架golang-jwt实现安全验证
A_super_C的博客
03-22 404
注:octools/jwttokengolang-jwt进行了二次封装,使其使用起来更加简单,和容易上手。jwt服务注册及其使用(需注册为全局变量,自动生成密钥)
gRPC自定义Token验证
Krien666的博客
04-28 495
第一个方法作用是获取元数组信息,也就是客户端提供的key,value对,context用于控制超时和取消,uri是请求入口处的uri, 第二个方法的作用是否需要基于TLS认证进行安全传输,如果返回值是true,则必须加上TLS验证,返回值是false则不用 gRPC将各种认证方式浓缩统一到一个凭证(credentials)上,可以单独使用一种凭证,比如只使用TLS凭证或者只使用自定义凭证,也可以多种凭证组合,gRPC提供统一的API验证机制,使研发人员使用方便。
【Go微服务安全实践】:认证与授权机制深入解析
Go微服务安全基础 ## 微服务架构简介 微服务架构是一种设计方法,它将单个应用程序作为一套小型服务的集合来构建,每个服务运行在其独立的进程中,并且通常围绕业务能力组织。微服务之间通过轻量级通信机制相互...
微服务架构:Go语言中的微服务设计与实现
相较于传统的单体架构,微服务架构将应用程序分解成一组更小、更易于开发和维护的服务单元。 ### 1.2 微服务架构的优势和劣势 微服务架构的优势在于灵活性高、易于扩展、技术栈多样化、独立部署等,但同时也存在着...
Go语言gRPC服务发现】:实现动态服务发现机制的实战教程
[【Go语言gRPC服务发现】:实现动态服务发现机制的实战教程](https://ask.qcloudimg.com/http-save/yehe-1001569/lfow735v6k.png) # 1. gRPC服务发现概述 随着微服务架构的普及,服务发现已经成为现代分布式系统中...
微服务架构系列一:关键技术与原理研究
腾讯技术工程
08-15 4147
导语:人不为己,天诛地灭这个成语中的“为”念作wéi,阳平二声,是“修养,修为”的意思。成语的意思是:如果人不修身,那么就会为天地所不容。本意并不是经常被很多人曲解的人如...
GoLang Web应用六 gRPC认证
s297485987的专栏
05-02 1068
Golang gRPC实践 连载四 gRPC认证gRPC 默认提供了两种认证方式:基于SSL/TLS认证方式远程调用认证方式两种方式可以混合使用TLS认证示例这里直接扩展hello项目,实现TLS认证机制首先需要准备证书,在hello目录新建keys目录用于存放证书文件。证书制作制作私钥 (.key)# Key considerations for algorithm "RSA" ≥ 2048-b...
grpc-go源码剖析九十四之如何理解认证token
码二哥的技术池
10-20 403
从本文开始介绍认证相关原理。 如何理解认证token? 可以简单的认为是一个临时密码,这个密码是临时的,有期限限制;有访问范围限制; 比方说,有如下场景: 一位外国记者要去中国的某个军事基地进行参观访问,要经过的步骤至少如下: 1.记者首先要向军事基地的管理者进行申请,该记者申请时需要提供一些自身的信息,如哪个国家,身份证,访问目的是什么等等(身份信息) 2.管理者,接收到申请后,会考虑是否允许访问,如果允许访问,会给一个反馈;如授权码,这个授权码要跟身份信息一一对应 3.记者拿着反馈信息,在军事基地的
Golang SSL 证书 验证
最新发布
勿忘初心
12-25 577
代码平平无奇,需要注意的是http client初始化部分。因为是短连接,如果是大量域名去验证的话,短时间内将导致大量。
golang:gRPC token认证
朱金拖的专栏
07-06 2202
GO语言高级编程》设计中案例,仅作为笔记进行收藏。基于证书的认证是针对每个gRPC链接的认证。gRPC还为每个gRPC⽅法调⽤提供了认证⽀持,基于⽤户Token对不同的⽅法访问进⾏权限管理。 1.helloworld.proto syntax = "proto3"; package main; service Greeter{ rpc SayHello(HelloRequest) returns (HelloReply); } message HelloRequest{ string
grpc介绍(二)——认证方式
www_dong的博客
10-04 1693
grpc认证方式介绍
SSLTLS的区别以及介绍
聪明的狐狸
01-14 3042
SSLTLS的区别以及介绍       SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。   TLS:(Transport Layer Secur
Go微服务五 Go - gRPC 中的TLS认证
太阳上的雨天
03-20 765
介绍 在上一篇中简单介绍了 在go中gRPC的使用,但是无签名的认证。这一篇简单介绍生成cert进行TLS认证的调用 代码较上一篇改动不大。包含使用openssl生成ca证书 证书生成流程 新增ca.conf [ req ] default_bits = 4096 distinguished_name = req_distinguished_name [ req_distinguished_name ] countryName = CN countryNam
Go实战--golang中使用JWT(JSON Web Token)
weixin_33875839的博客
01-23 3643
http://blog.csdn.net/wangshubo1989/article/details/74529333 之前写过关于golang中如何使用cookie的博客: 实战–go中使用cookie 今天就来跟大家简单介绍一下golang中如何使用token,当然是要依赖一下github上的优秀的开源库了。 首先,要搞明白一个问题,token、cookie、session的区别。 t...
go token验证_Go语言Echo Web框架8-JWT
weixin_36170766的博客
01-01 717
上一节:Go语言Echo Web框架7-Cookie和Session ,这一节介绍jwt.token认证过程用户输入用户名和密码,发送给服务器。服务器验证用户名和密码,正确的话就返回一个签名过的token(token 可以认为就是个长长的字符串),浏览器客户端拿到这个token。后续每次请求中,浏览器会把token作为http header发送给服务器,服务器验证签名是否有效,如果有效那么认证就...
Go语言的btls包:全面支持TLS/SSL协议栈
资源摘要信息:"btls是一个用Go语言实现的TLS协议的包,包含了SSL 3.0和TLS 1.0、1.1、1.2版本。该包目前处于早期开发阶段,但已经实现了许多重要的特性,如记录层、握手、证书库、会话缓存和会话恢复等。" 知识点:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值