拦截器(gRPC-Interceptor)类似于 Gin 中间件(Middleware),让你在真正调用 RPC 服务前,进行身份认证、参数校验、限流等通用操作。

系列

  1. 云原生 API 网关,gRPC-Gateway V2 初探
  2. Go + gRPC-Gateway(V2) 构建微服务实战系列,小程序登录鉴权服务:第一篇
  3. Go + gRPC-Gateway(V2) 构建微服务实战系列,小程序登录鉴权服务:第二篇
  4. Go + gRPC-Gateway(V2) 构建微服务实战系列,小程序登录鉴权服务(三):RSA(RS512) 签名 JWT
  5. Go+gRPC-Gateway(V2) 微服务实战,小程序登录鉴权服务(四):自动生成 API TS 类型

grpc.UnaryInterceptor

VSCode -> Go to Definition 开始,我们看到如下源码:

// UnaryInterceptor returns a ServerOption that sets the UnaryServerInterceptor for the

// server. Only one unary interceptor can be installed. The construction of multiple

// interceptors (e.g., chaining) can be implemented at the caller.

func UnaryInterceptor(i UnaryServerInterceptor) ServerOption {

	return newFuncServerOption(func(o *serverOptions) {

		if o.unaryInt != nil {

			panic("The unary server interceptor was already set and may not be reset.")

		}

		o.unaryInt = i

	})

}

注释很清晰:UnaryInterceptor 返回一个为 gRPC server 设置 UnaryServerInterceptorServerOption。只能安装一个一元拦截器。多个拦截器的构造(例如,chaining)可以在调用方实现。

这里我们需要实现具有如下定义的方法:

// UnaryServerInterceptor provides a hook to intercept the execution of a unary RPC on the server. info

// contains all the information of this RPC the interceptor can operate on. And handler is the wrapper

// of the service method implementation. It is the responsibility of the interceptor to invoke handler

// to complete the RPC.

type UnaryServerInterceptor func(ctx context.Context, req interface{}, info *UnaryServerInfo, handler UnaryHandler) (resp interface{}, err error)

注释很清晰:UnaryServerInterceptor 提供了一个钩子来拦截服务器上一元 RPC 的执行。info 包含拦截器可以操作的这个 RPC 的所有信息。handlerservice 方法实现的包装器。拦截器的职责是调用 handler 来完成 RPC 方法的执行。在真正调用 RPC 服务前,进行各微服务的通用操作(如:authorization)。

Auth Interceptor 编写

一句话描述业务:

  • 从请求头(header) 中拿到 authorization 字段传过来的 token,然后通过 pubclic.key 验证是否合法。合法就把 AccountID(claims.subject) 附加到当前请求上下文中(context)。

核心拦截器代码如下:

type interceptor struct {

	verifier tokenVerifier

}

func (i *interceptor) HandleReq(ctx context.Context, req interface{}, info *grpc.UnaryServerInfo, handler grpc.UnaryHandler) (resp interface{}, err error) {

    // 拿到 token

	tkn, err := tokenFromContext(ctx)

	if err != nil {

		return nil, status.Error(codes.Unauthenticated, "")

	}

    // 验证 token

	aid, err := i.verifier.Verify(tkn)

	if err != nil {

		return nil, status.Errorf(codes.Unauthenticated, "token not valid: %v", err)

	}

	// 调用真正的 RPC 方法

	return handler(ContextWithAccountID(ctx, AccountID(aid)), req)

}

具体代码位于 /microsvcs/shared/auth/auth.go

Todo 微服务

一个 Todo-List 测试服务。

这里,我们加入一个新的微服务 Todo,我们要做的是:访问 Todo RPC Service 之前需要经过我们的鉴权 Interceptor 判断是否合法。

定义 proto

todo.proto

syntax = "proto3";

package todo.v1;

option go_package="server/todo/api/gen/v1;todopb";

message CreateTodoRequest {

    string title = 1;

}

message CreateTodoResponse {

}

service TodoService {

    rpc CreateTodo (CreateTodoRequest) returns (CreateTodoResponse);

}

简单起见(测试用),这里就一个字段 title

定义 google.api.Service

todo.yaml

type: google.api.Service

config_version: 3

http:

  rules:

  - selector: todo.v1.TodoService.CreateTodo

    post: /v1/todo

    body: "*"

生成相关代码

microsvcs 目录下执行:

sh gen.sh

会生成如下文件:

  • microsvcs/todo/api/gen/v1/todo_grpc.pb.go
  • microsvcs/todo/api/gen/v1/todo.pb.go
  • microsvcs/todo/api/gen/v1/todo.pb.gw.go

client 目录下执行:

sh gen_ts.sh

会生成如下文件:

  • client/miniprogram/service/proto_gen/todo/todo_pb.js
  • client/miniprogram/service/proto_gen/todo/todo_pb.d.ts

实现 CreateTodo Service

具体见:microsvcs/todo/todo/todo.go

type Service struct {

	Logger *zap.Logger

	todopb.UnimplementedTodoServiceServer

}

func (s *Service) CreateTodo(c context.Context, req *todopb.CreateTodoRequest) (*todopb.CreateTodoResponse, error) {

    // 从 token 中解析出 accountId,确定身份后执行后续操作

	aid, err := auth.AcountIDFromContext(c)

	if err != nil {

		return nil, err

	}

	s.Logger.Info("create trip", zap.String("title", req.Title), zap.String("account_id", aid.String()))

	return nil, status.Error(codes.Unimplemented, "")

}

重构下 gRPC-Server 的启动

我们现在有多个服务了,Server 启动部分有很多重复的,重构一下:

具体代码位于:microsvcs/shared/server/grpc.go

func RunGRPCServer(c *GRPCConfig) error {

	nameField := zap.String("name", c.Name)

	lis, err := net.Listen("tcp", c.Addr)

	if err != nil {

		c.Logger.Fatal("cannot listen", nameField, zap.Error(err))

	}

	var opts []grpc.ServerOption

	// 鉴权微服务是无需 auth 拦截器,这里做一下判断

	if c.AuthPublicKeyFile != "" {

		in, err := auth.Interceptor(c.AuthPublicKeyFile)

		if err != nil {

			c.Logger.Fatal("cannot create auth interceptor", nameField, zap.Error(err))

		}

		opts = append(opts, grpc.UnaryInterceptor(in))

	}

	s := grpc.NewServer(opts...)

	c.RegisterFunc(s)

	c.Logger.Info("server started", nameField, zap.String("addr", c.Addr))

	return s.Serve(lis)

}

接下,其它微服务的gRPC-Server启动代码就好看很多了:

具体代码位于:todo/main.go

logger.Sugar().Fatal(

    server.RunGRPCServer(&server.GRPCConfig{

    	Name:              "todo",

    	Addr:              ":8082",

    	AuthPublicKeyFile: "shared/auth/public.key",

    	Logger:            logger,

    	RegisterFunc: func(s *grpc.Server) {

    		todopb.RegisterTodoServiceServer(s, &todo.Service{

    			Logger: logger,

    		})

    	},

    }),

)

具体代码位于:auth/main.go

logger.Sugar().Fatal(

	server.RunGRPCServer(&server.GRPCConfig{

		Name:   "auth",

		Addr:   ":8081",

		Logger: logger,

		RegisterFunc: func(s *grpc.Server) {

			authpb.RegisterAuthServiceServer(s, &auth.Service{

				OpenIDResolver: &wechat.Service{

					AppID:     "your-appid",

					AppSecret: "your-appsecret",

				},

				Mongo:          dao.NewMongo(mongoClient.Database("grpc-gateway-auth")),

				Logger:         logger,

				TokenExpire:    2 * time.Hour,

				TokenGenerator: token.NewJWTTokenGen("server/auth", privKey),

			})

		},

	}),

)

联调

重构下 gateway server

我们要反向代理到多个 gRPC server 端点了,整理下代码,弄成配置的形式:

具体代码位于:microsvcs/gateway/main.go

serverConfig := []struct {

	name         string

	addr         string

	registerFunc func(ctx context.Context, mux *runtime.ServeMux, endpoint string, opts []grpc.DialOption) (err error)

}{

	{

		name:         "auth",

		addr:         "localhost:8081",

		registerFunc: authpb.RegisterAuthServiceHandlerFromEndpoint,

	},

	{

		name:         "todo",

		addr:         "localhost:8082",

		registerFunc: todopb.RegisterTodoServiceHandlerFromEndpoint,

	},

}

for _, s := range serverConfig {

	err := s.registerFunc(

		c, mux, s.addr,

		[]grpc.DialOption{grpc.WithInsecure()},

	)

	if err != nil {

		logger.Sugar().Fatalf("cannot register service %s : %v", s.name, err)

	}

}

addr := ":8080"

logger.Sugar().Infof("grpc gateway started at %s", addr)

logger.Sugar().Fatal(http.ListenAndServe(addr, mux))

测试

Refs

我是为少

微信:uuhells123

公众号:黑客下午茶

加我微信(互相学习交流),关注公众号(获取更多学习资料~)

Go+gRPC-Gateway(V2) 微服务实战,小程序登录鉴权服务(五):鉴权 gRPC-Interceptor 拦截器实战的更多相关文章

  1. Go+gRPC-Gateway(V2) 微服务实战,小程序登录鉴权服务(六):客户端基础库 TS 实战

    小程序登录鉴权服务,客户端底层 SDK,登录鉴权.业务请求.鉴权重试模块 Typescript 实战. 系列 云原生 API 网关,gRPC-Gateway V2 初探 Go + gRPC-Gatew ...

  2. Go+gRPC-Gateway(V2) 微服务实战,小程序登录鉴权服务(四):客户端强类型约束,自动生成 API TS 类型定义

    系列 云原生 API 网关,gRPC-Gateway V2 初探 Go + gRPC-Gateway(V2) 构建微服务实战系列,小程序登录鉴权服务:第一篇 Go + gRPC-Gateway(V2) ...

  3. JeeWx捷微3.1小程序版本发布,支持微信公众号,微信企业号,支付窗——JAVA版开源微信管家

    支持小程序,JeeWx捷微3.1小程序版本发布^_^ JeeWx捷微V3.1——多触点小程序版本管理平台(支持微信公众号,微信企业号,支付窗)   JeeWx捷微V3.1.0版本紧跟微信小程序更新,在 ...

  4. JAVA版开源微信管家—JeeWx捷微3.1小程序版本发布,支持微信公众号,微信企业号,支付窗

    支持小程序,JeeWx捷微3.1小程序版本发布^_^ JeeWx捷微V3.1--多触点小程序版本管理平台(支持微信公众号,微信企业号,支付窗) JeeWx捷微V3.1.0版本紧跟微信小程序更新,在原有 ...

  5. 微慕WordPress小程序增强版

    2017年1月9日,张小龙在2017微信公开课Pro上发布的微信小程序正式上线.在过去的2年多的时间里,微信小程序领头,各大互联网平台也不甘落后,陆续推出自己的小程序.2018年7月4日,百度智能小程 ...

  6. 小程序server-3-搭建WebSocket 服务

    小程序server-3-搭建WebSocket 服务: 1.安装 Node 模块 使用 ws 模块来在服务器上支持 WebSocket 协议,下面使用 NPM 来安装: cd /var/www/wxp ...

  7. 微信小程序个人/企业开放服务类目一览表

    微信小程序个人/企业开放服务类目一览表   微信小程序个人开放服务类目表 服务类目 类目分类一 类目分类二 引导描述 出行与交通 代驾 / / 生活服务 家政.丽人.摄影/扩印.婚庆服务.环保回收/废 ...

  8. 微信-小程序-开发文档-服务端-模板消息:templateMessage.send

    ylbtech-微信-小程序-开发文档-服务端-模板消息:templateMessage.send 1.返回顶部 1. templateMessage.send 本接口应在服务器端调用,详细说明参见服 ...

  9. 微信-小程序-开发文档-服务端-模板消息:templateMessage.getTemplateList

    ylbtech-微信-小程序-开发文档-服务端-模板消息:templateMessage.getTemplateList 1.返回顶部 1. templateMessage.getTemplateLi ...

随机推荐

  1. NDB程序进近复飞保护区的绘制

    终于有点空闲,找张图来演练一下<风螺旋标准模板>软件的用法. 某机场NDB进近程序剖面图如下图所示: 该机场采用了近台和远台的双台布局,近台和远台均为NDB与指点标的合装台,没有中间进近定 ...

  2. 系统错误,MSVCP100D.dll找不到或丢失!

    文章首发 | 公众号:lunvey 今日研究c++,找了一些示例程序,发现无法打开.弹出如下的报错提示: 作为新时代人类,遇见问题第一件事情就是问度娘.然而眼花缭乱的检索数据,大家众说纷纭,不知道如何 ...

  3. 为什么ElasticSearch比MySQL更适合全文索引

    熟悉 MySQL 的同学一定都知道,MySQL 对于复杂条件查询的支持并不好.MySQL 最多使用一个条件涉及的索引来过滤,然后剩余的条件只能在遍历行过程中进行内存过滤,对这个过程不了解的同学可以先行 ...

  4. 两年Java,去字节跳动写Python和Go

    前言 2019年5月,在收到offer邮件的那一刻,我仍然不敢相信自己这一番际遇.经历了七场面试,终于得偿所望,拿到了字节跳动的offer. 做加入大厂的决定并不是巧合.在多年的职业生涯里,我曾多次对 ...

  5. 一文读懂网管协议 - SNMP,NETCONF,RESTCONF

    本文篇幅较长,主要涉及以下内容: 介绍传统 CLI 配置网络设备存在的挑战,网管协议出现的背景 SNMP 原理,交互过程,以及 trade-off NETCONF 架构,交互过程 RESTCONF 架 ...

  6. SpringBoot 项目初始化

    工作之余,想要学习一下SpringBoot,通过网络大量教程最终成功运行SpringBoot项目.  第一步 首先,通过教程发现一套完整的快速搭建SpringBoot项目网站:https://star ...

  7. Hive安装与配置——2.3.5版本

    Hive安装配置 Hive是一个数据仓库基础工具在Hadoop中用来处理结构化数据.它架构在Hadoop之上,提供简单的sql查询功能,可以将sql语句转换为MapReduce任务进行运行,使查询和分 ...

  8. RocketMQ同一个消费者唯一Topic多个tag踩坑经历

    最近做的项目的一个版本需求中,需要用到MQ,对数据记录进行异步落库,这样可以减轻数据库的压力,同时可以抗住大量的数据落库.这里需要说明一下本人用到的MQ是公司自己在阿里的RokectMQ的基础上进行封 ...

  9. 后端程序员之路 10、gbdt(Gradient Boosting Decision Tree)

    1.GbdtModelGNode,含fea_idx.val.left.right.missing(指向left或right之一,本身不分配空间)load,从model文件加载模型,xgboost输出的 ...

  10. 网络地址转换NAT的两种模式(概念浅析)& IP溯源

    由于全球IPv4地址越来越少.越来越贵,因此大到一个组织,小到一个家庭一个人都很难获得公网IP地址,所以只能使用内网地址,从而和别人共享一个公网IP地址.在这种情况下,NAT技术诞生. 翻译 NAT( ...