gRPC(七)进阶:自定义身份验证

最新推荐文章于 2024-06-11 10:59:30 发布
最新推荐文章于 2024-06-11 10:59:30 发布
阅读量1.4k 收藏 3
点赞数 1
分类专栏: Grpc 文章标签: rpc go 微服务 网络 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46618592/article/details/127745921
版权

目录

前言

个人网站:https://linzyblog.netlify.app/
示例代码已经上传到github:点击跳转
gRPC官方文档:点击跳转
在前面的章节中,我们介绍了两种可全局认证的方法:

而在实际需求中,常常会对某些模块的 RPC 方法做特殊认证或校验,而gRPC也专门提供了这类特殊认证的接口。

一、概述

gRPC为每个gRPC方法调用提供了Token认证支持,可以基于用户传入的Token判断用户是否登陆、以及权限等,实现Token认证的前提是,需要定义一个结构体,并实现credentials.PerRPCCredentials接口。

1、credentials.PerRPCCredentials 接口

类型定义:

type PerRPCCredentials interface {
	// 返回需要认证的必要信息
	GetRequestMetadata(ctx context.Context, uri ...string) (map[string]string, error)
	// 是否使用安全链接(TLS)
	RequireTransportSecurity() bool
}

在 gRPC 中默认定义了 PerRPCCredentials,是 gRPC 默认提供用于自定义认证的接口,它的作用是将所需的安全认证信息添加到每个 RPC 方法的上下文中。其包含 2 个方法:

  • GetRequestMetadata:获取当前请求认证所需的元数据(metadata),以 map 的形式返回本次调用的授权信息,ctx 是用来控制超时的
  • RequireTransportSecurity:是否需要基于 TLS 认证进行安全传输,如果返回 true 则说明该 Credentials 需要在一个有 TLS 认证的安全连接上传输,如果当前连接并没有使用 TLS 则会报错:
transport: cannot send secure credentials on an insecure connection

2、实现流程

  • 在发出请求之前,gRPC 会将 Credentials(认证凭证)存放在 metadata(元数据)中进行传递。
  • 在真正发起调用之前,gRPC 会通过 GetRequestMetadata函数,将用户定义的 Credentials(认证凭证)提取出来,并添加到 metadata(元数据)中,随着请求一起传递到服务端。
  • 然后服务端从 metadata 中取出 Credentials 进行有效性校验。

二、实现自定义身份验证

具体分为以下两步:

  • 1)客户端请求时带上 Credentials;
  • 2)服务端取出 Credentials,并验证有效性,一般配合拦截器使用(这里我们使用两种方法,拦截器以及RPC方法)。

1、目录结构

go-grpc-example
├─client
│  ├─token_client
│  │   └──client.go
├─pkg
│  ├─token
│  │   └──token.go
├─proto
│  ├─token
│  │   └──token.proto
└─server
    ├─token_server
	│  └──server.go

2、编写IDL

在 proto/token 文件夹下的 token.proto 文件中,写入如下内容:

syntax = "proto3";

option go_package = "./proto/token;token";
package tokenservice;

// 验证参数
message TokenValidateParam {
  string token = 1;
  int32 uid = 2;
}

// 请求参数
message Request {
  string name = 1;
}

// 请求返回
message Response {
  int32 uid = 1;
  string name = 2;
}

// 服务
service TokenService {
  rpc Token(Request) returns (Response);
}

在Makefile文件中写入:

token:
	protoc --go_out=. --go-grpc_out=. ./proto/token/*.proto

make token指令生成Go代码:

make token
protoc --go_out=. --go-grpc_out=. ./proto/token/*.proto

在这里插入图片描述

3、编写基础模板和空定义

我们先把基础的模板和空定义写出来在进行完善

1)server.go

const Address = "127.0.0.1:8888"

type TokenService struct {
	token.UnimplementedTokenServiceServer
}

func main() {
	listen, err := net.Listen("tcp", Address)
	if err != nil {
		fmt.Println("start error:", err)
		return
	}

	var opts []grpc.ServerOption
	
	server := grpc.NewServer(opts...)
	token.RegisterTokenServiceServer(server, &TokenService{})

	fmt.Println("服务启动成功....")
	server.Serve(listen)
}

2)client.go

const Address = "127.0.0.1:8888"

func main() {
	var opts []grpc.DialOption
	
	conn, err := grpc.Dial(Address, opts...)
	if err != nil {
		fmt.Println("grpc.Dial error:", err)
		return
	}
	defer conn.Close()
	// 实例化客户端
	client := token.NewTokenServiceClient(conn)

	// 调用具体方法
	token, err := client.Token(context.Background(), &token.Request{Name: "linzy"})
	if err != nil {
		fmt.Println("client.Token error:", err)
		return
	}
	fmt.Println("return result:", token)
}

4、实现PerRPCCredentials 接口

我们在 pkg/token 目录里的 token.go 文件内实现PerRPCCredentials 接口的方法:

const IsTLS = false

// 定义一个认证的结构体,这里是因为我在porto写好了一个数据结构
// 也可以自定义认证字段
type TokenAuth struct {
	token.TokenValidateParam
}

func (x *TokenAuth) GetRequestMetadata(ctx context.Context, uri ...string) (map[string]string, error) {
	// 将 Credentials(认证凭证)存放在 metadata(元数据)中进行传递。
	return map[string]string{
		"uid":   strconv.FormatInt(int64(x.GetUid()), 10),
		"token": x.GetToken(),
	}, nil
}

func (x *TokenAuth) RequireTransportSecurity() bool {
	return IsTLS
}

5、实现认证功能

我们已经实现了客户端请求时带上 Credentials 凭证,后面就需要实现服务端的功能,在获取授权信息并校验有效性。

1)实现拦截器认证

pkg/Interceptor 目录下的 Interceptor.go 文件内写入以下内容:

// 用一元拦截器实现认证
func ServerInterceptorCheckToken() grpc.UnaryServerInterceptor {
	return func(ctx context.Context, req interface{}, info *grpc.UnaryServerInfo,
		handler grpc.UnaryHandler) (resp interface{}, err error) {
		// 验证token
		_, err = CheckToken(ctx)
		if err != nil {
			fmt.Println("Interceptor 拦截器内token认证失败\n")
			return nil, err
		}
		fmt.Println("Interceptor 拦截器内token认证成功\n")
		return handler(ctx, req)
	}
}

// 验证
func CheckToken(ctx context.Context) (*token.Response, error) {
	// 取出元数据
	md, b := metadata.FromIncomingContext(ctx)
	if !b {
		return nil, status.Error(codes.InvalidArgument, "token信息不存在")
	}

	var token, uid string
	// 取出token
	tokenInfo, ok := md["token"]
	if !ok {
		return nil, status.Error(codes.InvalidArgument, "token不存在")
	}

	token = tokenInfo[0]

	// 取出uid
	uidTmp, ok := md["uid"]
	if !ok {
		return nil, status.Error(codes.InvalidArgument, "uid不存在")
	}
	uid = uidTmp[0]

	//验证
	sum := md5.Sum([]byte(uid))
	md5Str := fmt.Sprintf("%x", sum)
	if md5Str != token {
		fmt.Println("md5Str:", md5Str)
		fmt.Println("uid:", uid)
		fmt.Println("token:", token)
		return nil, status.Error(codes.InvalidArgument, "token验证失败")
	}
	return nil, nil
}

gPRC 传输的时候把授权信息存放在 metada 的,所以需要先获取 metadata。通过metadata.FromIncomingContext可以从 ctx 中取出本次调用的 metadata,然后再从 md 中取出授权信息并校验即可。

在server.go文件内添加拦截器:

opts = append(opts, grpc.UnaryInterceptor(Interceptor.ServerInterceptorCheckToken()))

2)实现RPC方法认证

实现了校验有效性我们就需要在 server.go 服务端实现Token RPC的方法进行授权认证:

type TokenService struct {
	token.UnimplementedTokenServiceServer
	tokenAuth.TokenAuth
}

func (u TokenService) Token(ctx context.Context, r *token.Request) (*token.Response, error) {
	// 验证token
	_, err := Interceptor.CheckToken(ctx)
	if err != nil {
		fmt.Println("Token RPC方法内token认证失败\n")
		return nil, err
	}
	fmt.Printf("%v Token RPC方法内token认证成功\n", r.GetName())
	return &token.Response{Name: r.GetName()}, nil
}

同样的在client.go 文件内输入token信息,并调用grpc.WithPerRPCCredentials:

// token信息
auth := tokenAuth.TokenAuth{
	token.TokenValidateParam{
		Token: "81dc9bdb52d04dc20036dbd8313ed055",
		Uid:   1234,
	},
}
opts = append(opts, grpc.WithPerRPCCredentials(&auth))

6、启动 & 请求

输入一个正确的token:

# 启动服务端
$ go run server.go
API server listening at: 127.0.0.1:52505
服务启动成功....
Interceptor 拦截器内token认证成功

linzy Token RPC方法内token认证成功

# 启动客户端
$ go run client.go 
API server listening at: 127.0.0.1:52545
return result: name:"linzy"

修改token信息为:

// token信息
	auth := tokenAuth.TokenAuth{
		token.TokenValidateParam{
			Token: "81dc9bdb52d0ed0585",
			Uid:   1234,
		},
	}

测试一下:

# 启动服务端
$ go run server.go
API server listening at: 127.0.0.1:52505
服务启动成功....
md5Str: 81dc9bdb52d04dc20036dbd8313ed055
uid: 1234
token: 81dc9bdb52d0ed0585
Interceptor 拦截器内token认证失败

# 启动客户端
$ go run client.go 
API server listening at: 127.0.0.1:52857
client.Token error: rpc error: code = InvalidArgument desc = token验证失败

7、实现RequireTransportSecurity()方法

身份认证功能已经完成,但是我们gRPC通信还是明文传输,对于如此重要的信息肯定要建立安全连接,所以要实现 RequireTransportSecurity 方法。

方法实现很简单,我们只需要建立安全连接的时候,返回一个true就行,使用我们之前的证书进行TLS连接即可。

具体可以看我的上一篇《通过TLS建立安全连接》

server.go添加以下内容:

if tokenAuth.IsTLS {
	// TLS认证
	// 根据服务端输入的证书文件和密钥构造 TLS 凭证
	c, err := credentials.NewServerTLSFromFile("./conf/server_side_TLS/server.pem", "./conf/server_side_TLS/server.key")
	if err != nil {
		log.Fatalf("credentials.NewServerTLSFromFile err: %v", err)
	}
	opts = append(opts, grpc.Creds(c))
}

client.go添加以下内容:

if tokenAuth.IsTLS {
	//打开tls 走tls认证
	// 根据客户端输入的证书文件和密钥构造 TLS 凭证。
	// 第二个参数 serverNameOverride 为服务名称。
	c, err := credentials.NewClientTLSFromFile("./conf/server_side_TLS/server.pem", "go-grpc-example")
	if err != nil {
		log.Fatalf("credentials.NewClientTLSFromFile err: %v", err)
	}
	opts = append(opts, grpc.WithTransportCredentials(c))
} else {
	opts = append(opts, grpc.WithInsecure())
}

我们只需要修改token.go文件内的IsTLS变量就可以实现是否使用安全链接(TLS)。

启动 & 请求之后我们抓个包看一下是否已经建立安全链接了了。

在这里插入图片描述
在这里插入图片描述

三、小结

1)实现credentials.PerRPCCredentials接口就可以把数据当做 gRPC 中的 Credential 在添加到 metadata 中,跟着请求一起传递到服务端;
2)服务端从 ctx 中解析 metadata,然后从 metadata 中获取 授权信息并进行验证;
3)可以借助 Interceptor 实现全局身份验证。

lin钟一
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
.netcore grpc身份验证和授权
qq_31975127的博客
08-18 1615
1)引入IdentityServer4、IdentityServer4.AccessTokenValidation、Microsoft.AspNetCore.Authentication.JwtBearer包。2)gRPC工厂中配置token传递 或者在调用对应的客户端函数中对metadata传参。链接:https://pan.baidu.com/s/1viu-REcR-ySdR0FE05sohg。(grpc专栏结束后会开启鉴权授权专栏欢迎大家关注)1)调用鉴权中心获取token。第三步:WPF客户端。
.Net Core gRPC入门(四)——身份认证
自云—自在之心,无缚于体
04-17 748
目录一、服务端添加身份认证1. 添加Nuget包2. 添加身份认证3. 添加Proto文件4. 添加服务实现5. 注册授权服务二、客户端获取Token认证1. Console客户端 身份认证用于登陆认证、授权等作用,下面将展示如何在gRPC中进行身份认证 一、服务端添加身份认证 1. 添加Nuget包 工具 > Nuget包管理器 > 程序包管理控制台 > 设置默认项目为GrpcDemo.Service 输入以下命令: Install-Package Microsoft.AspNetCo
Golang——gRPC认证和拦截器
最新发布
weixin_57023347的博客
06-11 1021
TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。Token认证是一种基于Token的身份验证方法,用于在客户端和服务器之间进行身份验证。主要概念Token的含义:Token(令牌)是服务端生成的一串字符串,作为客户端进行请求的一个标识。Token的组成。
grpc的验证器
新法的博客
03-11 1905
在使用grpc库时候 ,很多时候我们需要对反序列化的参数进行校验,代码中有很多参数校验的代码,如果手动实现,会非常繁琐,对于grpc来说,在定义proto的时候使用直接定义参数的限制规则是一种更合理、更优雅的方式,插件就是来帮助我们实现这一功能的,使用 proto-gen-validate 生成后的代码进行参数校验,我们可以通过在 proto 中编写参数校验规则,然后生成代码,通过中间件自动的进行校验。}];// 参数必须大于 0// 参数必须在 0 到 120 之间。
grpc-credentials
05-11
一个简单的库,用于将OIDC JWT添加到gRPC请求。
手把手教大家在 gRPC 中使用 JWT 完成身份校验
江南一点雨的专栏
02-22 1759
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如 Tomcat 中的 Session。例如登录:用户登录后,我们把用户的信息保存在服务端 session 中,并且给用户一个 cookie 值,记录对应的 session,然后下次请求,用户携带 cookie 值来(这一步有浏览器自动完成),我们就能识别到对应 session,从而找到用户的信息。服务端保存大量数据,增加服务端压力服务端保存用户状态,不支持集群化部署。
go-grpc-middleware:Golang gRPC中间件:拦截器链接,身份验证,日志记录,重试等
02-03
这是实现常见模式的理想方法:身份验证,日志记录,消息,验证,重试或监视。 这些是通用的构建块,可以轻松轻松地构建多个微服务。 该存储库的目的是充当此类可重用功能的起点。 它包含其中一些本身,但也将链接...
grpc-jwt:探索gRPC验证JWT的示例代码
05-15
JWT的引入是为了在gRPC服务之间提供安全的身份验证。JWT包含三个部分:头部、载荷和签名。头部通常包含令牌的类型(JWT)和算法。载荷部分携带实际的数据,如用户ID或其他权限信息。签名部分通过将头部和载荷用密钥...
go-grpc-prometheus:对gRPC Go服务器的Prometheus监视
02-04
这是实现常见模式的理想方法:身份验证,日志记录和...监视。 要在链中使用拦截器,请参阅 。 该库需要Go 1.9或更高版本。用法拦截器有两种类型:客户端和服务器端。 该软件包为两者提供监视拦截器。服务器端import...
grpc-python:Python中的gRPC演示:snake:
03-09
gRPC Python 跑信息讯息执行从python/message目录: 运行服务器: python3 message_server.py 在另一个终端窗口中,运行客户端: python3 message_client.py里奇里奇前提本地安装的 ritchie-formulas-demo Github...
grpc-kotlin:gRPC与Kotlin协程
02-04
gRPC Kotlin-用于Kotlin的基于协程的gRPC gRPC Kotlin是一个插件,用于使用服务的生成本地Kotlin绑定。 为什么? gRPC中双向流式rpc调用的异步特性使它们难以实现和读取。 StreamObserver让您绕开StreamObserver...
gRPC】来聊一聊gRPC的认证
m0_37322399的博客
05-27 907
文章目录gRPC认证认证方式**gRPC消息传输的四种类型**SSL/TLS认证方式**那么什么是SSL/TLS?****那么HTTP 2 默认就有加密吗?****HTTP 2 有啥特性?****SSL/TLS加密的基本做法是啥?****SSL/TLS协议提供啥服务呢?****SSL/TLS协议提供的安全通道有哪些特性呢?**必要环境搭建OpenSSL安装TLS证书制作一个DEMO基于Token的认证方式又一个DEMO gRPC认证 我们再来回顾一下gRPC的基本结构 gRPC 是一个典型的C/S模型,需要
gRPCgRPC认证
YIYIYI
09-11 999
gRPCgRPC认证
09.grpc发送验证信息-metadata
apple_56973763的博客
11-07 519
1.grpc的metadata 类比学习:HTTP协议中Header一样存储一些key-value格式的数据。grpc底层采用的是http2也有支持传递数据,使用的就是metadata。 在metadata中key的类型是字符串,而value是[]string。HTTP中header的生命周期是一次http请求,metadata的生命周期与header一样,metadata的生命周期是一次RPC调用。 2.创建metadata 创建metadata可以像创建普通的map类型类似,使用metadata下的ne
gRPC 快速体验(6):证书验证
Devin_S的博客
09-07 967
还记得前面章节中gRPC的服务中客户端在链接服务器中通过 grpc.WithInsecure() 选项跳过了对服务器证书的验证吗?为了保障gRPC通信不被第三方监听篡改或伪造,我们试一下对服务器启动TLS加密特性。
grpc介绍(二)——认证方式
www_dong的博客
10-04 1637
grpc认证方式介绍
grpc服务认证实现方式
uxff的专栏
11-22 8986
gRPC服务认证有几种实现思路 gRPC通信层使用SSL/TLS认证 gRPC服务提供的接口中认证 使用注册中心的认证 通信层基于SSL/TLS认证方式参考这里: https://segmentfault.com/a/1190000007933303 大致思路是,gRPC通信层使用证书: 服务端创建服务增加参数creds, err := credentials.NewServerTLSFrom
Go语言与GRPC进阶:无线传感网络MAC协议解析
"GRPC进阶-无线传感网络的各种mac协议介绍,t-macs-macb-macx-mac" 本文将深入探讨GRPC的高级概念,同时涉及到无线传感网络中的MAC(Media Access Control)协议,包括T-MACs、MACB、MACX和MAC。在无线传感器网络中...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lin钟一

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值