在完成中间件的介绍和日志中间件的代码后,我们的程序已经基本能正常跑通了,但如果要上生产,还少了一些必要的功能,例如鉴权、异常捕捉等。本章我们介绍如何编写鉴权中间件。

鉴权访问,说白了就是给用户的请求增加一些限制条件,过滤掉不符合要求的请求。完善的鉴权模块可以让我们的服务跑得更加安全,特别是面向公共的服务。

常用的无状态鉴权方式

  • 网络鉴权

通常有IP白名单方式,通过获取客户端的真实IP来对请求进行过滤

  • 用户鉴权

通过账号密码或者分配的密钥、Token等方式进行认证,常用的cookies、oauth2.0都是这种方式

  • 加密算法鉴权

客户端使用加密算法对用户的参数进行计算加密得到Token,并将参数和Token一起发送;服务端使用同样的加密算法对请求参数进行加密后比较Token的值是否一致。

Gin-IPs 鉴权访问

为了让我们的服务更加安全,我们通常是混合多种鉴权方式使用。本文采取“用户鉴权”和“加密算法鉴权”混合方式。

  • 鉴权算法介绍

通过某种方式生成或者手动指定分配公钥和私钥对给用户,用户使用公钥和请求参数组成消息内容,使用私钥对消息内容进行哈希计算,得到固定长度的字符串。

服务器使用同样的方式对用户请求的参数进行哈希计算后比较。由于这里面的算法和密钥对都是私有的,所以安全性较高,适用于大多数场景。

  • 加密代码
// 签名算法如下

/*

Signature = HMAC-SHA1('SecretKey', UTF-8-Encoding-Of( StringToSign ) ) );

StringToSign = method + "\n" +

               URL + "\n" +

               Sort-UrlParams + "\n" +

               Content-MD5 + "\n" +  // md5(params)

               Expires + "\n" +

               AccessKey;

*/

func genSignature(accessKey, secretKey, uri, method, urlParams, params, nowTS string) (string, error) {

	if params != "" {

		md5Ctx := md5.New()

		_, _ = io.WriteString(md5Ctx, params)

		params = fmt.Sprintf("%x", md5Ctx.Sum(nil))

	}

	// HTTP-Verb + "\n" +URL + "\n" +Parameters + "\n" +Content-Type + "\n" +Content-MD5 + "\n" +Date + "\n" +AccessKey;

	strSign := method + "\n" + uri + "\n" + urlParams + "\n"  + "\n" + params + "\n" + nowTS + "\n" + accessKey

	sign := hmacSHA1Encrypt(strSign, secretKey)

	return sign, nil

}

// hmacSHA1Encrypt encrypt the encryptText use encryptKey

func hmacSHA1Encrypt(encryptText, encryptKey string) string {

	key := []byte(encryptKey)

	mac := hmac.New(sha1.New, key)

	mac.Write([]byte(encryptText))

	var str = hex.EncodeToString(mac.Sum(nil))

	return str

}
  • Gin鉴权中间件使用
func Validate() gin.HandlerFunc {

	return func(c *gin.Context) {

		response := route_response.Response{}

		response.Data.List = []interface{}{} // 初始化为空切片,而不是空引用

		uri := c.Request.URL.Path

		contentType := c.Request.Header.Get("Content-Type")

		accessKey := c.DefaultQuery("accesskey", "")

		expires := c.DefaultQuery("expires", "")

		signature := c.DefaultQuery("signature", "")

		secret, err := dao.FetchSecret(accessKey)

		if err != nil || "valid" != secret.State {

			c.Abort()

			response.Code, response.Message = configure.RequestKeyNotFound, "无效的Token"

			c.JSON(http.StatusUnauthorized, response)

			return

		}

		secretKey := secret.SecretKey

		if nowTs, err := strconv.ParseInt(expires, 10, 64); err != nil {

			c.Abort()

			response.Code, response.Message = configure.RequestParameterTypeError, "有效期参数类型错误"

			c.JSON(http.StatusUnauthorized, response)

			return

		} else {

			passTime := time.Now().Unix() - nowTs

			if passTime < 0 || passTime >= configure.GinConfigValue.Expires {

				c.Abort()

				response.Code, response.Message = configure.RequestExpired, "请求已过期"

				c.JSON(http.StatusUnauthorized, response)

				return

			}

		}

		method := strings.ToUpper(c.Request.Method)

		var urlParams, params string

		if "POST" == method || "PUT" == method {

			body, _ := ioutil.ReadAll(c.Request.Body)

			c.Request.Body = ioutil.NopCloser(bytes.NewBuffer(body)) // 重设body

			params = string(body)

		} else if "GET" == method || "DELETE" == method {

			queryParams := c.Request.URL.Query()

			allParams := make(map[string]string)

			for k, v := range queryParams {

				if k != "accesskey" && k != "expires" && k != "signature" {

					allParams[k] = v[0] // 如果某个key传入了2个,只用第一个的值

				}

			}

			keys := getMapKeysSorted(allParams)

			for _, k := range keys {

				urlParams += k + allParams[k]

			}

		}

		if signatureString, err := genSignature(accessKey, secretKey, uri, method, urlParams, params, expires); err != nil {

			c.Abort()

			response.Code, response.Message = configure.ApiGenSignatureError, "API内部错误"

			c.JSON(http.StatusUnauthorized, response)

			return

		} else {

			if signature != signatureString {

				c.Abort()

				response.Code, response.Message = configure.RequestAuthorizedFailed, "API认证失败"

				c.JSON(http.StatusUnauthorized, response)

				return

			}

		}

		c.Next()

	}

}

本文关于鉴权访问的介绍和使用到此为止,下一章我们将使用异常捕捉中间件来完善我们的程序。

Github 代码

请访问 Gin-IPs 或者搜索 Gin-IPs

【Gin-API系列】Gin中间件之鉴权访问(五)的更多相关文章

  1. 微服务从代码到k8s部署应有尽有系列(三、鉴权)

    我们用一个系列来讲解从需求到上线.从代码到k8s部署.从日志到监控等各个方面的微服务完整实践. 整个项目使用了go-zero开发的微服务,基本包含了go-zero以及相关go-zero作者开发的一些中 ...

  2. SpringCloud 2020.0.4 系列之 JWT用户鉴权

    1. 概述 老话说的好:善待他人就是善待自己,虽然可能有所付出,但也能得到应有的收获. 言归正传,之前我们聊了 Gateway 组件,今天来聊一下如何使用 JWT 技术给用户授权,以及如果在 Gate ...

  3. Go+gRPC-Gateway(V2) 微服务实战,小程序登录鉴权服务(五):鉴权 gRPC-Interceptor 拦截器实战

    拦截器(gRPC-Interceptor)类似于 Gin 中间件(Middleware),让你在真正调用 RPC 服务前,进行身份认证.参数校验.限流等通用操作. 系列 云原生 API 网关,gRPC ...

  4. 自定义分布式RESTful API鉴权机制

    微软利用OAuth2为RESTful API提供了完整的鉴权机制,但是可能微软保姆做的太完整了,在这个机制中指定了数据持久化的方法是用EF,而且对于用户.权限等已经进行了封装,对于系统中已经有了自己的 ...

  5. SpringBoot系列: Web应用鉴权思路

    ==============================web 项目鉴权============================== 主要的鉴权方式有:1. 用户名/密码鉴权, 然后通过 Sess ...

  6. Go+gRPC-Gateway(V2) 微服务实战,小程序登录鉴权服务(六):客户端基础库 TS 实战

    小程序登录鉴权服务,客户端底层 SDK,登录鉴权.业务请求.鉴权重试模块 Typescript 实战. 系列 云原生 API 网关,gRPC-Gateway V2 初探 Go + gRPC-Gatew ...

  7. # RESTful登录(基于token鉴权)的设计实例

    使用场景 现在很多基于restful的api接口都有个登录的设计,也就是在发起正式的请求之前先通过一个登录的请求接口,申请一个叫做token的东西.申请成功后,后面其他的支付请求都要带上这个token ...

  8. 深入理解k8s中的访问控制(认证、鉴权、审计)流程

    Kubernetes自身并没有用户管理能力,无法像操作Pod一样,通过API的方式创建/删除一个用户实例,也无法在etcd中找到用户对应的存储对象. 在Kubernetes的访问控制流程中,用户模型是 ...

  9. 👮 Golang Gin/Ace/Iris/Echo RBAC 鉴权库

    GRBAC 项目地址: https://github.com/storyicon/grbac Grbac是一个快速,优雅和简洁的RBAC框架.它支持增强的通配符并使用Radix树匹配HTTP请求.令人 ...

随机推荐

  1. Centos7 如何通过win10 的远程桌面连接进行远程访问

    首先,如果安装测centos7是已经安装了GNOME 或者 KDE 桌面, 则只需要再安装xrdp就可以了. 直接通过yum install xrdp 是不行的,因为xrdp 不在默认源中   先配置 ...

  2. Spring 注解学习 详细代码示例

    学习Sping注解,编写示例,最终整理成文章.如有错误,请指出. 该文章主要是针对新手的简单使用示例,讲述如何使用该注释,没有过多的原理解析. 已整理的注解请看右侧目录.写的示例代码也会在结尾附出. ...

  3. JAVA 连接 ZooKeeper之初体验

    Java连接Zookeeper 一.配置zk环境 本人使用的是虚拟机,创建了两台linux服务器(安装过程百度上很多) 准备zk的安装包,zookeeper-3.4.10.tar.gz,可在Apach ...

  4. Idea Live Temlpates 自定义代码

    Idea Live Temlpates 自定义代码 目的 - 加快常用代码的书写 使用## 打开Settings 快捷键Ctrl+Alt+S 选中Live Templates 选中temlpates ...

  5. 将map中的json转ObjecId

    我们直接从gridfs中取文件列表时取出来的文件_id为: "_id": { "timestamp": 1587091947, "counter&qu ...

  6. 使用Azure人脸API对图片进行人脸识别

    人脸识别是人工智能机器学习比较成熟的一个领域.人脸识别已经应用到了很多生产场景.比如生物认证,人脸考勤,人流监控等场景.对于很多中小功能由于技术门槛问题很难自己实现人脸识别的算法.Azure人脸API ...

  7. Android html5和Android之间的交互

    今天补充了会昨天的问题,然后搞半天又出现莫名其妙的问题. 今天讲的是交互,先说html5在Android的调用. 上面的hello world上面的部分都是安卓里的布局 然后按这些布局自动生成代码. ...

  8. 文档写作利器:Markdown

    大佬的文章,写的很好,里面推荐的Markdown编辑工具很不错,值的推荐. 文档写作利器:Markdown_网络_xcbeyond|疯狂源自梦想,技术成就辉煌-CSDN博客https://blog.c ...

  9. Node.js 和 Python之间如何进行选择?

    转载请注明出处:葡萄城官网,葡萄城为开发者提供专业的开发工具.解决方案和服务,赋能开发者. 原文出处:https://dzone.com/articles/nodejs-vs-python-which ...

  10. NIO(二):Channel通道

    一.Channel概述 channel(通道):进行IO的连接通道,为NIO的几个核心(Buffer,selector,channel)之一,相比于IO的stream具有较高的性能. IO 单向传输 ...