gRPC — SSL/TLS单向认证、双向认证、Token认证

已于 2024-03-09 16:34:24 修改
阅读量2k 收藏 36
点赞数 44
文章标签: ssl 网络 服务器 go rpc
于 2024-03-09 16:28:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56639722/article/details/136486997
版权

一、什么是SSL/TLS?

传输层安全性协议(Transport Layer Security,缩写作 TLS ),其前身安全套接层(Secure Sockets Layer,缩写作 SSL )是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。根据传输层安全协议的规范,客户端与服务端的连接安全应该具备连接是私密的或连接是可靠的一种以上的特性。
SSL/TLS 协议通过 X.509 证书的数字文档将网站的公司实体信息绑定到加密密钥,每一个密钥对都有一个私有密钥和一个公有密钥。私有密钥是独有的,一般位于服务器上,用于解密由公有密钥加密过的信息,公有密钥是公开的,与服务器进行交互的每个人都可以持有公有密钥,用公有密钥加密的信息只能由私有密钥来解密。

SSL/TLS 协议提供以下的服务:

认证用户与服务器,确保数据发送到正确的客户端和服务器;

加密数据以防止数据在传输过程中被窃取;

维护数据的完整性,确保数据在传输过程中不被改变。

二、什么是 SAN?

SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展,使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。

三、gRPC 的 SSL/TLS 加密认证的实现

该部分内容基于上一个博客gRPC-入门示例的代码,进行进一步实现!如图所示,回顾上一个博客中gRPC入门示例代码,可以看出客户端和服务端之间无任务加密认证的过程,具有不安全性。因此,接下来的内容将在原有代码基础上,分别实现SSL/TLS的单向认证、双向认证、Token认证的过程,增加安全性。
在这里插入图片描述
在这里插入图片描述

1、生成自签证证书

CA 是一个受信任的实体,它管理和发布用于公共网络中安全通信的安全证书和公钥。由该受信任的实体所签署或颁发的证书称为 CA 签名的证书。需要使用根证书CA来生成服务端、客户端证书。
在这里插入图片描述

使用 OpenSSL 开源工具集创建一个 CA 根证书

根证书(root certificate)是属于根证书颁发机构(CA)的公钥证书。可以通过验证 CA 的签名从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书(客户端、服务端)。

1、去openssl的官网下载openssl,安装完成后,在终端运行以下命令,可以看到相应的版本号。

C:\Users\xxxxx>openssl -version
OpenSSL 3.2.1 30 Jan 2024 (Library: OpenSSL 3.2.1 30 Jan 2024)

2、在原有项目工程下,新建一个目录cert目录,进入该目录下,打开终端运行以下命令:

openssl genrsa -out ca.key 2048

最终,在cert目录将会生成ca.key的文件。

3、在cert目录下,新建 ca.conf文件,并且写入以下内容:

[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = ChongQing
localityName                = Locality Name (eg, city)
localityName_default        = ChongQing
organizationName            = Organization Name (eg, company)
organizationName_default    = JiangShui
commonName                  = CommonName (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = jiangshui

然后运行在终端运行以下命令,创建ca证书签发请求,得到ca.csr

openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf

如下图所示,运行命令后,填写内容均默认,全部按下enter即可,全部确认完毕后,cert目录下将会生成对应ca.csr文件。

4、在终端下运行以下命令,通过ca.key和ca.csr生成ca根证书,得到ca.crt

openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt

2、单向认证

生成服务端证书

1、运行以下命令,生成服务端私钥,server.key

openssl genrsa -out server.key 2048

2、在cert目录下,新建server.conf文件,并且写入以下内容:

[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = ChongQing
localityName                = Locality Name (eg, city)
localityName_default        = ChongQing
organizationName            = Organization Name (eg, company)
organizationName_default    = JiangShui
commonName                  = CommonName (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = jiangshui

[ req_ext ]
# 添加subjectAltName
subjectAltName = @alt_names
# 文件末尾添加. www.p-pp.cn代表允许的ServerName,自己随便写
[alt_names]
DNS.1   = www.jiangshui.cn
DNS.2   = www.libai.cn
IP      = 127.0.0.1

然后运行在终端运行以下命令,创建证书签发请求,得到server.csr

openssl req -new -sha256 -out server.csr -key server.key -config server.conf

3、在终端运行以下命令,用CA证书和server.key、server.csr生成服务端证书(公钥),得到server.pem

openssl x509 -req -days 3650 -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.pem -extensions req_ext -extfile server.conf

4、完成以上步骤后,查看cert目录,是否存在以下图片中所示的文件,如果对应上,则说明生成各文件完毕。
在这里插入图片描述

修改服务端代码

修改后服务端grpc_server.go代码如下:

package main

import (
	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
	"google.golang.org/grpc/grpclog"
	"grpc1/service"
	"net"
)

func main() {
	//引入TLS认证相关文件(传入公钥和私钥)
	//配置 TLS认证相关文件
	creds, err := credentials.NewServerTLSFromFile("./cert/server.pem", "./cert/server.key")

	if err != nil {
		grpclog.Fatal("添加证书失败", err)
	}

	//获取grpc服务端,添加TLS认证
	rpcServer := grpc.NewServer(grpc.Creds(creds))

	//服务端映射(注册)到结构体,调用product_grpc.pb.go中的RegisterProductServiceServer方法
	service.RegisterProductServiceServer(rpcServer, service.ProductService)
	// 建立tcp端口监听
	listener, err := net.Listen("tcp", ":8002")
	if err != nil {
		grpclog.Fatal("启动监听出错", err)
	}
	//服务端监听tcp连接
	err = rpcServer.Serve(listener)
	if err != nil {
		grpclog.Fatal("启动服务出错", err)
	}

}

如图所示,此时,启动服务端代码,然后启动客户端调用服务端方法查询库存,出现失败。
在这里插入图片描述

修改客户端代码

修改后服务端grpc_client.go代码如下:

package main

import (
	"context"
	"fmt"
	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
	"google.golang.org/grpc/grpclog"
	"grpc1/service"
)

func main() {
	//先创建证书池,读取并解析公开证书,创建启用 TLS 的证书(公钥域名)
	creds, err := credentials.NewClientTLSFromFile("./cert/server.pem", "www.jiangshui.cn")
	if err != nil {
		grpclog.Fatal("加载pem失败", err)
	}
	//建立连接并添加传输凭证
	conn, err := grpc.Dial(":8002", grpc.WithTransportCredentials(creds))
	if err != nil {
		grpclog.Fatal("did not connect", err)
	}

	//关闭连接
	defer conn.Close()

	//调用product_grpc.pb.go中的NewProductServiceClient方法建立客户端
	prodClient := service.NewProductServiceClient(conn)
	request := &service.ProductRequest{
		ProdId: 123,
	}

	//远程调用方法GetProductStock
	stockResponse, err := prodClient.GetProductStock(context.Background(), request)
	if err != nil {

		grpclog.Fatal("查询库存失败", err)

	}
	fmt.Println("查询成功", stockResponse.ProdStock)

}

如图所示,此时,启动服务端代码,然后启动客户端调用服务端方法查询库存,查询成功,实现了一个单向认证。
在这里插入图片描述

3、双向认证

双向认证需要在单向认证的基础上,继续生成客户端证书,然后对客户端和服务端代码进一步整改,才能完成双向认证。本人在实施双向认证的时候,也遇到了许多问题。当我利用OpenSSL 开源工具集生成自签证证书,然后按步骤生成完客户端和服务端公私钥,最后修改客户端和服务端双向认证代码并且运行测试后,始终出现以下问题:

FATAL: 查询库存出错rpc error: code = Unavailable desc = connection error: desc = "transport: authentication handshake failed: tls: failed to verify certificate: 
x509: certificate signed by unknown authority (possibly because of \"x509: invalid signature: parent certificate cannot sign this kind of certificate\" while trying to verify candid
ate authority certificate \"jiangshui.com\")"

该错误在我多次尝试解决该bug,甚至直接搬用别人的代码直接使用也未能解决!其中包括参考了许多博客的教程以及码神之路的教程,都未能解决相关问题!

参考博客1:gRPC教程 — TLS单向认证、双向认证、Token认证、拦截器

参考博客2:【gRPC】自签CA、服务端和客户端双向认证

参考博客3:码神之路教程

大家可以使用以上博客教程中的其中方法先进行尝试,看看如果能够测试成功,自然皆大欢喜!如果测试失败,出现与我相同错误!接下来,我将提供一种与以上博客不同的方法来实现双向认证过程!与上述博客中描述的方法不同,此处我不在利用OpenSSL 开源工具集生成自签证书以及服务端、客户端的公私钥。此处,我将直接使用go语言代码和相关库实现自签证书以及服务端、客户端的公私钥生成。

用go代码生成自签证书和客户端、服务端公私钥

在cert文件目录新建一个cert.go文件,并且在文件中写入以下代码:

package main

import (
	"crypto/ecdsa"
	"crypto/elliptic"
	"crypto/rand"
	"crypto/x509"
	"crypto/x509/pkix"
	"encoding/pem"
	"math/big"
	"net"
	"os"
	"time"
)

func main() {
	// 生成CA证书
	caCert, caPrivateKey, err := generateCACertificate()
	if err != nil {
		panic(err)
	}

	// 生成服务端证书
	err = generateCert("server.crt", "server.key", caCert, caPrivateKey, "localhost", true)
	if err != nil {
		panic(err)
	}

	// 生成客户端证书
	err = generateCert("client.crt", "client.key", caCert, caPrivateKey, "Client", false)
	if err != nil {
		panic(err)
	}
}

func generateCACertificate() (*x509.Certificate, *ecdsa.PrivateKey, error) {
	caPrivateKey, err := ecdsa.GenerateKey(elliptic.P256(), rand.Reader)
	if err != nil {
		return nil, nil, err
	}

	serialNumber, err := rand.Int(rand.Reader, new(big.Int).Lsh(big.NewInt(1), 128))
	if err != nil {
		return nil, nil, err
	}

	caTemplate := x509.Certificate{
		SerialNumber: serialNumber,
		Subject: pkix.Name{
			Organization: []string{"Example CA"},
		},
		NotBefore:             time.Now(),
		NotAfter:              time.Now().AddDate(10, 0, 0), // 10 years
		KeyUsage:              x509.KeyUsageCertSign | x509.KeyUsageDigitalSignature,
		ExtKeyUsage:           []x509.ExtKeyUsage{x509.ExtKeyUsageServerAuth, x509.ExtKeyUsageClientAuth},
		BasicConstraintsValid: true,
		IsCA:                  true,
	}

	caCertBytes, err := x509.CreateCertificate(rand.Reader, &caTemplate, &caTemplate, &caPrivateKey.PublicKey, caPrivateKey)
	if err != nil {
		return nil, nil, err
	}

	caCert, err := x509.ParseCertificate(caCertBytes)
	if err != nil {
		return nil, nil, err
	}

	// Save the CA certificate
	saveCert("ca.crt", caCertBytes)
	// Save the CA private key
	savePrivateKey("ca.key", caPrivateKey)

	return caCert, caPrivateKey, nil
}

func generateCert(certFilename, keyFilename string, caCert *x509.Certificate, caPrivateKey *ecdsa.PrivateKey, commonName string, isServer bool) error {
	privateKey, err := ecdsa.GenerateKey(elliptic.P256(), rand.Reader)
	if err != nil {
		return err
	}

	serialNumber, err := rand.Int(rand.Reader, new(big.Int).Lsh(big.NewInt(1), 128))
	if err != nil {
		return err
	}

	certTemplate := x509.Certificate{
		SerialNumber: serialNumber,
		Subject: pkix.Name{
			CommonName:   commonName,
			Organization: []string{"Example Org"},
		},
		NotBefore:             time.Now(),
		NotAfter:              time.Now().AddDate(1, 0, 0), // 1 year
		KeyUsage:              x509.KeyUsageDigitalSignature | x509.KeyUsageKeyEncipherment,
		ExtKeyUsage:           []x509.ExtKeyUsage{x509.ExtKeyUsageClientAuth},
		BasicConstraintsValid: true,
	}

	// 为证书添加SANs字段
	certTemplate.DNSNames = append(certTemplate.DNSNames, "localhost")
	certTemplate.IPAddresses = append(certTemplate.IPAddresses, net.ParseIP("127.0.0.1"))

	if isServer {
		certTemplate.ExtKeyUsage = []x509.ExtKeyUsage{x509.ExtKeyUsageServerAuth}
	}

	certBytes, err := x509.CreateCertificate(rand.Reader, &certTemplate, caCert, &privateKey.PublicKey, caPrivateKey)
	if err != nil {
		return err
	}

	saveCert(certFilename, certBytes)
	savePrivateKey(keyFilename, privateKey)

	return nil
}

func saveCert(filename string, certBytes []byte) {
	certPEMFile, err := os.Create(filename)
	if err != nil {
		panic(err)
	}
	defer certPEMFile.Close()

	pem.Encode(certPEMFile, &pem.Block{Type: "CERTIFICATE", Bytes: certBytes})
}

func savePrivateKey(filename string, privateKey *ecdsa.PrivateKey) {
	keyFile, err := os.Create(filename)
	if err != nil {
		panic(err)
	}
	defer keyFile.Close()

	privBytes, err := x509.MarshalECPrivateKey(privateKey)
	if err != nil {
		panic(err)
	}
	pem.Encode(keyFile, &pem.Block{Type: "EC PRIVATE KEY", Bytes: privBytes})
}

代码中的caTemplate、certTemplate部分类似于OpenSSL 开源工具集生成证书,相关部分可以根据自己的需求进行修改!此外,证书保存的路径根据自己的具体情况,进行修改!或者生成完证书后,自己将证书文件移动到对应的目录下。
在这里插入图片描述
此处图片中的内容则是类似于OpenSSL 开源工具集生成SAN证书部分,添加SANs字段,DNSName可以根据自身需求填写(添加多个)。

修改服务端代码

server_grpc.go

package main

import (
	"crypto/tls"
	"crypto/x509"
	"fmt"
	"google.golang.org/grpc/grpclog"
	"grpc2/service"
	"io/ioutil"
	"net"

	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
)

func main() {
	// 证书认证-双向认证
	// 从证书相关文件中读取和解析信息,得到证书公钥、密钥对
	cert, err := tls.LoadX509KeyPair("./cert/server.crt", "./cert/server.key")
	if err != nil {
		grpclog.Fatalf("failed to load server certificate: %v", err)
	}

	caCert, err := ioutil.ReadFile("./cert/ca.crt")
	if err != nil {
		grpclog.Fatalf("failed to read ca certificate: %v", err)
	}
	// 创建一个新的、空的证书池
	caCertPool := x509.NewCertPool()
	// 附加来自 CA 的证书
	if !caCertPool.AppendCertsFromPEM(caCert) {
		grpclog.Fatalf("failed to append ca certs")
	}
	// 构建基于 TLS 的 TransportCredentials 选项
	config := &tls.Config{
		Certificates: []tls.Certificate{cert},        // 服务器的证书和私钥
		ClientAuth:   tls.RequireAndVerifyClientCert, //启用并要求客户端证书验证
		ClientCAs:    caCertPool,                     //用于验证客户端证书的 CA 证书
	}

	listener, err := net.Listen("tcp", ":50051")
	if err != nil {
		grpclog.Fatalf("failed to listen: %v", err)
	}

	rpcServer := grpc.NewServer(grpc.Creds(credentials.NewTLS(config)))
	// 在此注册您的 gRPC 服务处理程序

	service.RegisterProductServiceServer(rpcServer, service.ProductService)

	if err != nil {
		grpclog.Fatal("启动监听出错", err)
	}
	err = rpcServer.Serve(listener)
	if err != nil {
		grpclog.Fatal("启动服务出错", err)
	}
	fmt.Println("启动grpc服务端成功")
}

修改客户端代码

client_grpc.go

package main

import (
	"context"
	"crypto/tls"
	"crypto/x509"
	"fmt"
	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
	"google.golang.org/grpc/grpclog"
	"grpc2/service"
	"io/ioutil"
)

func main() {
	// 证书认证-双向认证
	// 从证书相关文件中读取和解析信息,得到证书公钥、密钥对
	clientCert, err := tls.LoadX509KeyPair("./cert/client.crt", "./cert/client.key")
	if err != nil {
		grpclog.Fatalf("failed to load client certificate: %v", err)
	}

	// 创建一个新的、空的证书池
	certPool := x509.NewCertPool()
	ca, err := ioutil.ReadFile("./cert/ca.crt")
	if err != nil {
		grpclog.Fatalf("could not read ca certificate: %v", err)
	}

	// 附加来自 CA 的证书
	if ok := certPool.AppendCertsFromPEM(ca); !ok {
		grpclog.Fatalf("failed to append ca certs")
	}
	// 构建基于 TLS 的 TransportCredentials 选项
	config := &tls.Config{
		Certificates: []tls.Certificate{clientCert}, // 客户端的证书和私钥
		ServerName:   "localhost",                   //验证DNSName
		RootCAs:      certPool,                      // CA证书用于验证服务器证书
	}

	conn, err := grpc.Dial("localhost:50051", grpc.WithTransportCredentials(credentials.NewTLS(config)))
	if err != nil {
		grpclog.Fatalf("failed to dial server: %v", err)
	}
	defer conn.Close()

	// 现在您可以使用 `conn` 创建客户端并进行 gRPC 调用
	prodClient := service.NewProductServiceClient(conn)

	request := &service.ProductRequest{
		ProdId: 123,
	}
	stockResponse, err := prodClient.GetProductStock(context.Background(), request)
	if err != nil {
		grpclog.Fatal("查询库存出错", err)
	}
	fmt.Println("查询成功", stockResponse.ProdStock)
}

客户端和服务端代码修改完成后,启动服务端,运行客户端进行测试,此时不再出现之前所遇到的错误。如下图所示,成功调用到获取库存的方法,查询库存成功!
在这里插入图片描述

4、token认证

gRPC为每个gRPC方法调用提供了Token认证支持,可以基于用户传入的Token判断用户是否登陆、以及权限等。

服务端添加用户名密码的校验

server_grpc.go

package main

import (
	"context"
	"crypto/tls"
	"crypto/x509"
	"fmt"
	"google.golang.org/grpc/codes"
	"google.golang.org/grpc/grpclog"
	"google.golang.org/grpc/metadata"
	"google.golang.org/grpc/status"
	"grpc2/service"
	"io/ioutil"
	"net"

	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
)

func main() {
	// 证书认证-双向认证
	// 从证书相关文件中读取和解析信息,得到证书公钥、密钥对
	cert, err := tls.LoadX509KeyPair("./cert/server.crt", "./cert/server.key")
	if err != nil {
		grpclog.Fatalf("failed to load server certificate: %v", err)
	}

	caCert, err := ioutil.ReadFile("./cert/ca.crt")
	if err != nil {
		grpclog.Fatalf("failed to read ca certificate: %v", err)
	}
	// 创建一个新的、空的证书池
	caCertPool := x509.NewCertPool()
	// 附加来自 CA 的证书
	if !caCertPool.AppendCertsFromPEM(caCert) {
		grpclog.Fatalf("failed to append ca certs")
	}
	// 构建基于 TLS 的 TransportCredentials 选项
	config := &tls.Config{
		Certificates: []tls.Certificate{cert},        // 服务器的证书和私钥
		ClientAuth:   tls.RequireAndVerifyClientCert, //启用并要求客户端证书验证
		ClientCAs:    caCertPool,                     //用于验证客户端证书的 CA 证书
	}

	listener, err := net.Listen("tcp", ":50051")
	if err != nil {
		grpclog.Fatalf("failed to listen: %v", err)
	}

	//实现token认证,需要合法的用户名和密码
	//实现一个拦截器
	var authInterceptor grpc.UnaryServerInterceptor
	authInterceptor = func(
		ctx context.Context,
		req any,
		info *grpc.UnaryServerInfo,
		handler grpc.UnaryHandler,
	) (resp any, err error) {
		//拦截普通方法请求,验证Token
		err = Auth(ctx)
		if err != nil {
			return
		}
		return handler(ctx, req)
	}

	//添加在服务端拦截器
	rpcServer := grpc.NewServer(grpc.Creds(credentials.NewTLS(config)), grpc.UnaryInterceptor(authInterceptor))
	// 在此注册您的 gRPC 服务处理程序

	service.RegisterProductServiceServer(rpcServer, service.ProductService)

	if err != nil {
		grpclog.Fatal("启动监听出错", err)
	}
	err = rpcServer.Serve(listener)
	if err != nil {
		grpclog.Fatal("启动服务出错", err)
	}
	fmt.Println("启动grpc服务端成功")
}

func Auth(ctx context.Context) error {
	//拿到传输的用户名和密码
	md, ok := metadata.FromIncomingContext(ctx)
	if !ok {
		return fmt.Errorf("missing credentials")
	}
	var user string
	var password string

	if val, ok := md["user"]; ok {
		user = val[0]
	}
	if val, ok := md["password"]; ok {
		password = val[0]
	}

	if user != "admin" || password != "admin" {
		return status.Errorf(codes.Unauthenticated, "token不合法")
	}

	return nil
}

此时,启动客户端远程调用方法失败,出现token不合法的提示,如下图所示
在这里插入图片描述

修改客户端代码,以适应token认证

客户段需要携带token进行传入,使得服务端能进行正确验证,因此需要修改客户端代码,其中主要修改以下代码:

//客户端携带token传入
conn, err := grpc.Dial("localhost:50051", grpc.WithTransportCredentials(credentials.NewTLS(config)), grpc.WithPerRPCCredentials(token))

通过grpc.WithPerRPCCredentials(token)函数携带token。通过追踪该函数,可得知该函数接收的参数为一个接口,因此客户端传入的token,需要定义一个结构体将数据传入,并且将该结构体需要实现grpc.PerRPCCredentials接口。

type PerRPCCredentials interface {
	// 返回需要认证的必要信息
	GetRequestMetadata(ctx context.Context, uri ...string) (map[string]string, error)
  // 是否使用安全链接(TLS)
	RequireTransportSecurity() bool
}

实现grpc.PerRPCCredentials接口

在原来项目的基础上,新建auth文件目录,并且新建auth.go文件,写入以下代码实现相关接口:

package auth

import "context"

type Authentication struct {
	User     string
	Password string
}

func (a *Authentication) GetRequestMetadata(context.Context, ...string) (
	map[string]string, error,
) {
	return map[string]string{"user": a.User, "password": a.Password}, nil
}

func (a *Authentication) RequireTransportSecurity() bool {
	return false
}

修改客户端代码

client_grpc.go

package main

import (
	"context"
	"crypto/tls"
	"crypto/x509"
	"fmt"
	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
	"google.golang.org/grpc/grpclog"
	"grpc2/grpc_client/auth"
	"grpc2/service"
	"io/ioutil"
)

func main() {
	// 证书认证-双向认证
	// 从证书相关文件中读取和解析信息,得到证书公钥、密钥对
	clientCert, err := tls.LoadX509KeyPair("./cert/client.crt", "./cert/client.key")
	if err != nil {
		grpclog.Fatalf("failed to load client certificate: %v", err)
	}

	// 创建一个新的、空的证书池
	certPool := x509.NewCertPool()
	ca, err := ioutil.ReadFile("./cert/ca.crt")
	if err != nil {
		grpclog.Fatalf("could not read ca certificate: %v", err)
	}

	// 附加来自 CA 的证书
	if ok := certPool.AppendCertsFromPEM(ca); !ok {
		grpclog.Fatalf("failed to append ca certs")
	}
	// 构建基于 TLS 的 TransportCredentials 选项
	config := &tls.Config{
		Certificates: []tls.Certificate{clientCert}, // 客户端的证书和私钥
		ServerName:   "localhost",                   //验证DNSName
		RootCAs:      certPool,                      // CA证书用于验证服务器证书
	}
	token := &auth.Authentication{
		User:     "admin",
		Password: "admin",
	}
	//客户端携带token传入
	conn, err := grpc.Dial("localhost:50051", grpc.WithTransportCredentials(credentials.NewTLS(config)), grpc.WithPerRPCCredentials(token))
	if err != nil {
		grpclog.Fatalf("failed to dial server: %v", err)
	}
	defer conn.Close()

	// 现在您可以使用 `conn` 创建客户端并进行 gRPC 调用
	prodClient := service.NewProductServiceClient(conn)

	request := &service.ProductRequest{
		ProdId: 123,
	}
	stockResponse, err := prodClient.GetProductStock(context.Background(), request)
	if err != nil {
		grpclog.Fatal("查询库存出错", err)
	}
	fmt.Println("查询成功", stockResponse.ProdStock)
}

最后,启动服务端,运行客户端代码进行测试。当携带的token与服务端要求的不一致时,出现下图所示的token不合法,查询失败。
在这里插入图片描述

当携带的token与服务端要求的一致时,出现下图所示查询成功!在这里插入图片描述

江水灬之畔
关注
  • 44
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
ustccw
08-04 11万+
本文部分参考: https://www.wosign.com/faq/faq2016-0309-03.htm https://www.wosign.com/faq/faq2016-0309-04.htm http://blog.csdn.net/hherima/article/details/52469674 一: SSL/TLS介绍 什么是SSL,什么是TLS呢?官话说SSL是安全套...
gRPC教程 — TLS单向认证双向认证Token认证、拦截器
Mr_XiMu的博客
05-23 3558
gRPC教程 — TLS单向认证双向认证Token认证、拦截器
史上最细gRPC(Go)入门教程(四)---数据安全之--通过SSL/TLS建立安全连接
探索云原生
02-21 2460
本文记录了gRPC 中如何通过 TLS 证书建立安全连接,让数据能够加密处理,包括证书制作和CA签名校验等。 1. 概述 gRPC 系列相关代码见 Github gRPC 内置了以下 encryption 机制: 1)SSL / TLS:通过证书进行数据加密; 2)ALTS:Google开发的一种双向身份验证和传输加密系统。 只
Nginx开启TLS双向认证流程及配置
最新发布
ChinaCpp666的博客
05-28 1441
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
https单向认证双向认证区别
aaaa111111222的博客
03-22 676
关于证书 1、每个人都可以使用一些证书生成工具为自己的https站点生成证书(比如jdk的keytool),大家称它为“自签名证书”,但是自己生成的证书是不被互联网承认的,所以浏览器会报安全提示,要求你手动安装证书。只有通过权威的CA机构付费获得的证书才能被互联网承认(有点类似于根域服务器的权威机构)。 2、证书(无客户端服务端之分)保存着ip信息、证书过期时间、证书所有者地址信息等...
SSL/TLS单向认证双向认证介绍
热门推荐
网络资源是无限的
06-19 1万+
为了便于理解SSL/TLS单向认证双向认证执行流程,这里先介绍一些术语。 1. 散列函数(Hash function):又称散列算法、哈希函数,是一种从任何一种数据中创建小的数字”指纹”的方法。散列函数把消息或数据压缩成摘要,使得数据量变小,将数据的格式固定下来。该函数将数据打乱混合,重新创建一个叫做散列值(hash values, hash codes, hash sums)的指纹。散列值通常用一个短的随机字母和数字组成的字符串代表。好的散列函数在输入域中很少出现散列冲突。 散列函数的工作原理如下
SSL双向认证
无奇不有 不置可否的博客
01-13 1964
本文旨在介绍SSL双向认证相关知识,包括TLS协议,单双向流程等等。
SSL双向认证单向认证
m0_51514815的博客
05-29 4655
参考:https://www.cnblogs.com/bluestorm/p/10571989.html整理双向认证 SSL 协议要求服务器和用户双方都有证书。单向认证 SSL 协议不需要客户拥有CA证书。
grpc-demo:java版grpc 示例,使用拦截器实现了token认证
05-16
【标题】:“grpc-demo:java版grpc 示例,使用拦截器实现了token认证” 在这个项目中,我们探讨的是如何在Java中利用gRPC框架实现基于JWT(JSON Web Token)的token认证gRPC是一种高性能、开源的通用RPC框架,它...
grpc 实现oauth ssl
10-28
然后,在gRPC服务器和客户端配置中,分别设置证书和私钥,以启用双向TLS验证。这将确保只有持有正确证书的客户端才能连接到服务器,从而增加安全性。 2. **OAuth2认证**:OAuth2用于授权,而gRPC提供了一种机制来...
利用grpc框架c++编码实现异步双向流调用,可实现客户端服务端的主动调用链接
03-30
在本文中,我们将深入探讨如何使用gRPC框架在C++中实现异步双向流调用。gRPC是一个高性能、开源的RPC(远程过程调用)框架,它支持多种语言,包括C++。异步双向流调用是gRPC提供的一种通信模式,允许客户端和服务端...
JAVA实现的SSL/TLS双向认证源代码
02-02
压缩包里有客户端源码和服务器端源码,支持TCP的双向认证,也支持WEBSOCKET的双向认证,内附测试 wss的测试例子, 需要生成PKCS12的证书,导入浏览器才可以测试。
grpc-java-1.9.0.tar.gz_gRPC-java_java Tcp _谷歌 RPC 框架
09-24
gRPC-java 1.9.0 已发布,gRPC-java 是谷歌 RPC 框架 gRPC 的 Java 实现。gRPC 是一个高性能、开源、通用的 RPC 框架,面向移动和 HTTP/2 设计,是由谷歌发布的首款基于 Protocol Buffers 的 RPC 框架。 gRPC 基于 ...
charon:授权和认证服务
02-05
卡龙 快速开始 安装 $ go install github.com/piotrkowalczuk/charon/cmd/charond $ go install github.com/piotrkowalczuk/charon/cmd/charonctl 超级用户 $ charonctl register -address=localhost:8080 -auth....
计算机网络基础知识----HTTPS TLS/SSL双向认证单向认证的区别
u013915286的博客
05-20 470
双向认证 SSL 协议要求服务器和用户双方都有证书。单向认证 SSL 协议不需要客户拥有CA证书,具体的过程相对于上面的步骤,只需将服务器端验证客户证书的过程去掉,以及在协商对称密码方案,对称通话密钥时,服务器发送给客户的是没有加过密的(这并不影响 SSL 过程的安全性)密码方案。这样,双方具体的通讯内容,就是加过密的数据,如果有第三方攻击,获得的只是加密的数据,第三方要获得有用的信息,就需要对加密的数据进行解密,这时候的安全就依赖于密码方案的安全。而幸运的是,目前所用的密码方案,只要通讯密钥长度足够的长.
HTTPS TLS/SSL双向认证单向认证的区别
专注基础架构领域
08-18 2193
双向认证 SSL 协议要求服务器和用户双方都有证书。单向认证 SSL 协议不需要客户拥有CA证书,具体的过程相对于上面的步骤,只需将服务器端验证客户证书的过程去掉,以及在协商对称密码方案,对称通话密钥时,服务器发送给客户的是没有加过密的(这并不影响 SSL 过程的安全性)密码方案。这样,双方具体的通讯内容,就是加过密的数据,如果有第三方攻击,获得的只是加密的数据,第三方要获得有用的信息,就需要对加密的数据进行解密,这时候的安全就依赖于密码方案的安全。而幸运的是,目前所用的密码方案,只要通讯密钥长度足够的长.
基于SSL/TLS双向安全连接设备CA证书认证
编程识堂的博客
12-05 4631
SSL/TLS 安全优势 强认证。 用 TLS 建立连接的时候,通讯双方可以互相检查对方的身份。在实践中很常见的一种身份检查方式是检查对方持有的 X.509 数字证书。这样的数字证书通常是由一个受信机构颁发的,不可伪造。 **保证机密性。**TLS 通讯的每次会话都会由会话密钥加密,会话密钥由通讯双方协商产生。任何第三方都无法知晓通讯内容。即使一次会话的密钥泄露,并不影响其他会话的安全性。 完整性。 加密通讯中的数据很难被篡改而不被发现。 SSL/TLS 协议 TLS/SSL 协议下的通讯过程分为两部
gPRC之TLS双向认证
jannal专栏
08-09 254
gRPC java TLS 双向认证
gRpc中的TLS验证
向宪章的博客
06-07 2122
/*-=权认证 gRpc中默认支持两种授权,SSL/TLS认证方式、基于Token认证方式 1.1 SSL/TLS认证方式 SSL全称是Secure Sockets Layer,又被称之为安全套接字层,是一种标准安全协议,用于在通信过程中建立客户端与服务器之间的加密连接。 TLS的全称是Transport Layer Security,TLSSSL的升级版本。在使用额过程中,往往习惯于将SSLTLS组合在一起,统称为SSL/TLS。 简而言之,SSL/TLS是一种用于网络通信中加密的安全协议。 1.2
golang grpc双向认证
07-27
gRPC是一种高性能、开源的远程过程调用(RPC)框架,它使用Protocol Buffers作为接口定义语言(IDL)。双向认证是指在进行gRPC通信时,服务端和客户端都需要进行身份验证。在gRPC中,双向认证可以通过使用TLS/SSL证书来实现。 在gRPC中实现双向认证需要以下步骤: 1. 生成证书:首先,需要生成服务端和客户端的证书。可以使用openssl或其他工具来生成证书和私钥。 2. 配置TLS/SSL:服务端和客户端都需要配置TLS/SSL来启用加密通信。服务端需要加载证书和私钥,而客户端需要加载服务端的证书用于验证服务端身份。 3. 配置双向认证:服务端和客户端都需要配置双向认证。服务端需要验证客户端的证书,而客户端需要验证服务端的证书。 4. 实现认证逻辑:在服务端和客户端的代码中,需要实现证书验证逻辑。可以使用TLS配置中的回调函数来进行验证。 可以参考引用\[2\]中提供的gRPC-Gateway和引用\[3\]中的依赖安装命令来实现gRPC双向认证。这些工具和库可以帮助简化双向认证的实现过程。 总结起来,golang中实现gRPC双向认证的步骤包括生成证书、配置TLS/SSL、配置双向认证和实现认证逻辑。通过这些步骤,可以确保服务端和客户端之间的通信是安全和可信的。 #### 引用[.reference_title] - *1* [Go Grpc Jwt身份认证和Gateway集成以及HTTPS双向认证](https://blog.csdn.net/dz45693/article/details/112180692)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [【gRPC双向认证grpc-gateway原理及简单使用](https://blog.csdn.net/dl962454/article/details/124384299)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值