go gin中间件开发

最新推荐文章于 2024-09-04 17:38:15 发布
最新推荐文章于 2024-09-04 17:38:15 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: golang 文章标签: 中间件 golang
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27507377/article/details/83786353
版权

go gin中间件开发

我开发了检查request请求中的参数(包含get post和json参数)sql注入检查,和token检查
  • 我先说一下思路
    1. 在中间件中,获得request,取出其中你要检查或过滤的参数
    2. token检查,我有一张uid->token的数据表,用获得的token去查询数据库,检查是否存在
    3. sql注入检查,使用正则表达式匹配每一个参数,注意json参数和postget请求的参数,获取方式不一样,具体看代码
    4. 做一个slice和map,在匹配到slice或map中的参数或url时,跳过检查
token检查
  • 需要过滤的url和参数
var skipUrlForTokenArr = []string{
	"/test",
	"/public/",
	"/user/login",
	"/user/register",
	"/user/token/refresh",
	"/user/wxopendata/decode",
	"/user/wxserver/connect",
}

var maybeCheckForTokenArr = []string{
	"/user/homepage",
}

var skipParamsForSQLInjectMap = map[string]int{
	"file":           1,
	"encrypt_data":   1,
	"openid":         1,
	"iv":             1,
	"name":           1,
	"link":           1,
	"head_pic_link":  1,
	"pic_link":       1,
	"id_front_pic":   1,
	"id_reverse_pic": 1,
	"education_pic":  1,
  • 检查token并获得token对应的user信息

type User struct {
	Uid      int
	Level    int
	Phone    string
	Nickname string
	Sex      int
}

func CheckToken() gin.HandlerFunc {
	return func(c *gin.Context) {
		for _, url := range skipUrlForTokenArr {
			if strings.Contains(c.Request.URL.Path, url) {
				c.Next()
				return
			}
		}

		token := c.GetHeader("token")
		if token == "" {
			for _, url := range maybeCheckForTokenArr {
				if strings.Contains(c.Request.URL.Path, url) {
					c.Next()
					return
				}
			}
			err := errors.New("invalid token")
			tools.Mlog.Error(err.Error())
			c.JSON(http.StatusBadRequest, code.GeneralErrRet(err))
			c.Abort()
			return
		}
		fmt.Printf("token = %s\n", token)
		if tools.FilteredSQLInject(token) {
			err := fmt.Errorf("sql注入攻击 %s", token)
			tools.Mlog.Error(err.Error())
			c.JSON(http.StatusBadRequest, code.GeneralErrRet(err))
			c.Abort()
			return
		}
		//检查token是否存在
		uid := -1
		var tokenCreateAt time.Time
		row := db.DbApp.QueryRow(`SELECT uid, token_create_at FROM user_token WHERE token = ?;`, token)
		err := row.Scan(&uid, &tokenCreateAt)
		if err != nil && err != sql.ErrNoRows {
			tools.Mlog.Error(err.Error())
			c.JSON(http.StatusInternalServerError, code.GeneralErrRet(err))
			c.Abort()
		}
		if uid == -1 {
			c.JSON(http.StatusOK, code.RetTokenIsntExists)
			c.Abort()
			return
		}
		//token是否过期
		//m, _ := time.ParseDuration(fmt.Sprintf("%dm", setting.TokenConf.TokenExp))
		//if tokenCreateAt.Add(m).Before(time.Now()) {
		//	err = errors.New("token is expired")
		//	c.JSON(http.StatusUnauthorized, code.GeneralErrRet(err))
		//	c.Abort()
		//	return
		//}

		var u User
		row = db.DbApp.QueryRow(`SELECT level, phone, nickname, sex FROM user WHERE uid = ?;`, uid)
		u.Uid = uid
		err = row.Scan(&u.Level, &u.Phone, &u.Nickname, &u.Sex)
		if err != nil {
			tools.Mlog.Error(err.Error())
			c.JSON(http.StatusInternalServerError, code.GeneralErrRet(err))
			c.Abort()
			return
		}
		c.Set("uid", u.Uid)
		c.Set("user", u)
		c.Next()
	}
检查sql注入
  • 临时copy一份request出来,这里不能读取原装request中的数据,因为body读取过一次后,它会自动关闭true代表body不关闭
func CheckSQLInject() gin.HandlerFunc {
	return func(c *gin.Context) {
		body, err := httputil.DumpRequest(c.Request, true)
		if err != nil {
			err = fmt.Errorf("parse request body failed, err: %s", err)
			tools.Mlog.Error(err.Error())
			c.JSON(http.StatusInternalServerError, code.GeneralErrRet(err))
			c.Abort()
			return
		}
		//fmt.Printf("%s\n", string(body))
		//fmt.Printf("%#v\n", c.Request)
		if bytes.Index(body, []byte("application/json")) != -1 { //检查json参数
			//过滤http头部,获取body
			body = body[bytes.Index(body, []byte("User-Agent")):]
			index := bytes.Index(body, []byte("{"))
			if index != -1 { //判读是否找到body
				body = body[index:]
			} else {
				body = nil
			}
			if len(body) != 0 { //检查request json参数
				fmt.Println(string(body))
				m := make(map[string]interface{})
				err = json.Unmarshal(body, &m)
				if err != nil {
					err = fmt.Errorf("parse request body failed, err: %s", err.Error())
					tools.Mlog.Error(err.Error())
					c.JSON(http.StatusInternalServerError, code.GeneralErrRet(err))
					c.Abort()
					return
				}
				for k, v := range m {
					if skipParamsForSQLInjectMap[k] == 1 {
						continue
					}
					if reflect.TypeOf(v).String() == "string" {
						if tools.FilteredSQLInject(v.(string)) {
							err := fmt.Errorf("sql注入攻击 %s", v)
							tools.Mlog.Error(err.Error())
							c.JSON(http.StatusBadRequest, code.GeneralErrRet(err))
							c.Abort()
							return
						}
					}
				}
			}
		}
		if c.Request.Form == nil { //检查get和post中的参数
			c.Request.ParseMultipartForm(32 << 20)
		}
		for k, arr := range c.Request.Form {
			if c.Request.Method != http.MethodGet {
				fmt.Printf("%s=%v&", k, arr)
			}
			if skipParamsForSQLInjectMap[k] == 1 {
				continue
			}
			for _, v := range arr {
				if tools.FilteredSQLInject(v) {
					err := errors.New("sql注入攻击")
					tools.Mlog.Error(err.Error())
					c.JSON(http.StatusBadRequest, code.GeneralErrRet(err))
					c.Abort()
					return
				}

			}
		}
		c.Next()
	}
}
使用
router.Use(middleware.CheckToken(), middleware.CheckSQLInject())
勤奋的motto
关注
专栏目录
Go Web开发框架 Gin
weixin_51487151的博客
05-17 714
Go Web开发框架 Gin 10.1 Gin 现在的开发模式是后端只提供一份数据,然后不管是移动端还是网页端,如果想要展现出不同的效果,可以自己根据这份数据个性化构建展示效果 下载Gin package GOPROXY=https://goproxy.cn go get -u github.com/gin-gonic/gin 引入使用即可 import "github.com/gin-gonic/gin" //使用Gin框架 func main() { r := gin.Default() //
Go学习第十七章——Gin中间件与路由
Hai_Helloyou的博客
10-29 1290
Go web框架——Gin中间件与路由
Go的中间件
YG爱木木
05-02 2423
中间件 中间件这个东西其实指的很多,比如消息队列。可以说但凡是在业务逻辑之前的,都可以被说是中间件。比如鉴权,日志这些。go语言里面对中间件的使用比较有意思。先看一个简单的逻辑: 一个简单的http请求 package main import ( "log" "net/http" ) func hello(wr http.ResponseWriter,r *http.Request){ ...
golang学习笔记02——gin框架及基本原理
最新发布
GoppViper的博客
09-04 1675
gin框架是golang中比较常见的web框架,截止到目前(2023-03-21),github上已经累计了67.3K的star数,这足以表明其优秀。作为一名想要知其然亦想知其所以然的程序员,希望通过学习gin框架的实现原理来提高自己的技术能力,也希望通过分享来帮助想要进行学习的同学。框架源码地址: https://github.com/gin-gonic/gin
十分钟学会用Go编写Web中间件
kevin_tech的博客,微信搜「网管叨bi叨」
02-08 828
中间件(通常)是一小段代码,它们接收一个请求,对其进行处理,每个中间件只处理一件事情,完成后将其传递给另一个中间件或最终处理程序,这样就做到了程序的解耦。如果没有中间件那么我们必须在最终...
go 简单中间件实现
manbudezhu的专栏
02-06 333
package main import ( "net/http" ) func main(){ //中间件的链式调用 http.HandleFunc("/",MiddlewareOne(MiddlewareTwo(hello))) http.ListenAndServe(":8080",nil) } func hello(w http.ResponseWriter,r *http....
Go_web gin框架开发(通用脚手架)
qq_43514659的博客
11-28 2142
Go web 开发gin框架开发通用模板配置文件模块日志记录模块Mysql数据库模块Redis模块路由模块Main函数模块 gin框架开发通用模板 为了方便以后的开发需要哈,今天搞一套比较实用的开发脚手架 其中包含了 配置文件 、日志 、mysql初始化 、redis初始化 、路由模块 、main函数整合。 当然,也建立了 实体类models 、控制层controllers 、逻辑层logic或者服务层service 。 配置文件模块 记得建立自己的配置文件哈! 配置文件模块 采用 V
基于golang go语言Gin框架开发的在线客服SAAS系统.zip
04-01
**基于Go语言Gin框架开发的在线客服SAAS系统** 在现代互联网应用中,客户服务质量是企业竞争力的重要组成部分。为了满足这一需求,基于Go语言的Gin框架开发的在线客服SAAS(Software as a Service)系统应运而生。...
基于 Go 语言构建企业级的 RESTful API 服务 企业级go gin 开发框架 附带源码
01-04
"基于 Go 语言构建企业级的 RESTful API 服务企业级go gin 开发框架 附带源码" 本小册将指导读者如何使用 Go 语言构建企业级的 RESTful API 服务,涵盖了从准备阶段到部署阶段的各个流程。小册的内容包括如何安装和...
Gin中间件
巍巍玮玮的博客
12-17 790
适合处理登录认证、权限校验、数据分页、记录日志、耗时统计等。 定义中间件 Gin中的中间件必须是一个gin.HandlerFunc类型。例如我们像下面的代码一样定义一个统计请求耗时的中间件。 // StatCost 是一个统计耗时请求耗时的中间件 func StatCost() gin.HandlerFunc { return func(c *gin.Context) { start := time.Now() // 可以通过c.Set在请求上下文中设置值,后续的处理..
go原理系列| 理解gin中间件的运行
hwaiwen的博客
09-20 1437
中间件原理 中间件(middleware),其原理就是对一个方法进行包裹装饰,然后返回同类型的方法,在Python中又名装饰器,甚至成为了Python的语法糖。应用场景大多是需要对某一类函数进行通用的前置或者后置处理。**最常见的就是在web开发中,执行相应请求的handler函数前,需要对token合法性进行校验,在handler执行完后需要对处理结果产生的err进行记录和上报,这些都是通用的逻辑,并不需要在每个handler中都编写一遍。 实现一个最简单也最经典的中间件例子,计算函数的执行时间、记录日志
golang gin web开发
小杨同学
04-07 1201
下载Gin创建项目路由组响应统一封装请求参数bodyURL携带参数/pathurl&默认参数全参数异常捕获日志Gorm(数据库连接)欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入MarkdownText-to-
如何使用Go语言构建中间件
全栈工程师
09-08 202
我们首先定义了一个名为`Middleware`的函数,它接受一个`http.Handler`并返回一个新的`http.Handler`。在这个函数内部,我们创建了一个新的`http.HandlerFunc`,在这个函数内部,我们可以在调用原始处理器之前和之后执行任意代码。在Go中,中间件通常是一个函数,它接受一个`http.Handler`作为参数,并返回一个新的`http.Handler`。假设我们想要创建一个简单的日志记录中间件,它在每个HTTP请求之前记录请求的URL和方法。
GoLand创建Gin项目
jakelihua
05-19 1429
本文讲解GoLand如何创建Gin项目。
Golang进阶 —— 中间件的设计
金戈鐡馬
04-02 668
​ 在上一篇文章中,我们已经可以实现一个性能较高,且支持RESTful风格的路由了。但是,在Web应用的开发中,我们还需要一些可以被扩展的功能。 因此,在设计框架的过程中,应该留出可以扩展的空间,比如:日志记录、故障恢复等功能,如果我们把这些业务逻辑全都塞进Controller/Handler中,会显得代码特别的冗余,杂乱。 所以在这篇文章中,我们来探究如何更优雅的设计这些中间件
GolangGin框架开发学习记录——(一)
qq_62965644的博客
07-21 152
直接使用:get,post,put,delet对网页进行操作。接下来尝试在网页中打印出“hello world”环境可以在cmd中使用“go env”命令获得。在获取到相关包,导入时会发现无法识别(报红)这时可以在setting中选择代理。这里我使用Apipost进行测试。启动程序以后在浏览器输入“可以看见post请求按我们所设想的进行工作。2、打印出“hello world”
GO 的 Web 开发系列(八)—— Gin 自定义 Html 渲染实现多租户的模板设计
玖涯博客
04-22 611
正常情况下 Gin 配置的所有模板都属于同一个模板组合,相同名称的模板将相互覆盖。在未通过 define 指定模板名称时,同名模板文件也将相互覆盖。自定义函数中也无法区分租户,这将非常不方便我们进行多租户的模板渲染处理。通过自定义 HTML 渲染器,将一一解决这些问题。
Go语言Gin框架前后端分离项目开发工程化实例
单线程boy
11-07 783
Go语言Gin框架前后端分离项目开发工程化实例,后端通过模拟用户注册登录接口以及中间件校验,项目代码构建发布,前端使用Vue实现了一个简单的页面,然后调用后端接口。
GO WEB开发1——gin搭建
wooovi的博客
04-24 193
GO WEB开发1——gin搭建 1.下载GIN依赖 网上给的方法是:命令行进入项目目录中,下载Gin依赖 go get -u github.com/gin-gonic/gin 但是呢这个方法国内一般是无法使用的,建议参考下列方法,进入项目目录后: go env -w GO111MOUDULE=on go env -w GOPROXY=https://goproxy.cn,direct go get -u github.com/gin-gonic/gin 然后打开GoLand—设置—Go模块中新增环境
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值