【gRPC-gateway】auth-通过拦截器从上下文中提取元数据用于认证,与从http header转发待认证数据到上下文进行验证,go案例
从grpc上下文中提取元数据用于认证 案例
interceptor.go
package serverimport ("context""errors""google.golang.org/grpc""google.golang.org/grpc/metadata""strings"
)// UnaryInterceptor 是一个 unary RPC 的拦截器,用于在处理请求前进行身份认证。
// 参数:
//
// ctx - 上下文,用于传递请求相关的元数据。
// req - 请求的数据。
// info - 包含被拦截的 RPC 方法的信息。
// handler - 下游的处理器,用于执行实际的 RPC 方法。
//
// 返回值:
//
// 响应数据和可能的错误。
func UnaryInterceptor(ctx context.Context, req any, info *grpc.UnaryServerInfo, handler grpc.UnaryHandler) (resp any, err error) {// 在执行实际的处理函数前进行身份认证。err = auth(ctx)if err != nil {return nil, err}// 身份认证通过后,调用实际的处理函数。return handler(ctx, req)
}// StreamInterceptor 是一个 streaming RPC 的拦截器,用于在处理请求前进行身份认证。
// 参数:
//
// srv - 服务器的实现。
// ss - 服务器流,用于读取请求和写入响应。
// info - 包含被拦截的 streaming RPC 方法的信息。
// handler - 下游的处理器,用于执行实际的 streaming RPC 方法。
//
// 返回值:
//
// 可能的错误。
func StreamInterceptor(srv any, ss grpc.ServerStream, info *grpc.StreamServerInfo, handler grpc.StreamHandler) error {// 在执行实际的处理函数前进行身份认证。err := auth(ss.Context())if err != nil {return err}// 身份认证通过后,调用实际的处理函数。return handler(srv, ss)
}// auth 函数用于执行身份认证逻辑。
// 参数:
//
// ctx - 上下文,用于传递请求相关的元数据。
//
// 返回值:
//
// 如果身份认证失败,返回错误;否则返回 nil。
func auth(ctx context.Context) error {// 从上下文中提取元数据,用于身份认证。md, ok := metadata.FromIncomingContext(ctx)if !ok {return errors.New("元数据获取失败,身份认证失败")}// 检查元数据中是否包含认证信息。authorization := md["authorization"]if len(authorization) < 1 {return errors.New("元数据获取失败,身份认证失败")}// 提取并验证 token。token := strings.TrimPrefix(authorization[0], "Bearer ")if token != bearerToken {return errors.New("身份认证失败")}// 身份认证成功。return nil
}// bearerToken 是用于身份认证的密钥。
var bearerToken = "asdfgh"main.go
s := grpc.NewServer(grpc.UnaryInterceptor(server.UnaryInterceptor), grpc.StreamInterceptor(server.StreamInterceptor))
从http header转发到grpc上下文进行认证 案例
- 因为gateway负责,将远端http请求转为gRPC从而与grpc服务器通信,所以应该在gateway中处理http header,使其中需要的部分放入grpc上下文中
通过在runtime.NewServeMux(inComingOpt)中添加处理函数inComingOpt可以解决
可以看到NewServeMux还支持很多操作
gateway.go
package gatewayimport ("context""flag""github.com/grpc-ecosystem/grpc-gateway/v2/runtime"gw "golang19-grpc-gateway/user/proto""google.golang.org/grpc""google.golang.org/grpc/credentials/insecure""net/http"
)var (// grpc服务器端点grpcServerEndpoint = flag.String("grpc-server-endpoint", "localhost:50051", "gRPC server endpoint")
)// Run 启动一个 HTTP 服务器,用于将 HTTP 请求转发到 gRPC 服务器。
// 该函数配置了一个 HTTP 多路复用器以处理不同的 HTTP 路径,并将这些路径与 gRPC 方法关联起来。
// 它还设置了一个不安全的 gRPC 连接选项,仅适用于开发环境。
// 返回值: 如果 HTTP 服务器启动失败或在处理请求时遇到错误,则返回错误。
func Run() error {// 初始化一个上下文对象,用于取消操作和传递请求范围的值。ctx := context.Background()// 创建一个可取消的上下文,以便在函数退出时取消可能的挂起操作。ctx, cancel := context.WithCancel(ctx)// 确保在函数退出时取消上下文。defer cancel()// inComingOpt 配置了一个处理传入的http请求头的选项// 该选项使用一个函数来检查和转换请求头的键// 该匹配器函数决定哪些传入的HTTP头应该被传递给gRPC上下文,以及是否应该修改这些头的键。inComingOpt := runtime.WithIncomingHeaderMatcher(func(s string) (string, bool) {// 如果matcher返回true,则该标头将传递给gRPC上下文。要在传递给gRPC上下文之前转换标头,匹配器应返回修改后的标头。switch s {// 对于"Service-Authorization"头,将其转换为"service-authorization"并传递给gRPC上下文。case "Service-Authorization":return "authorization", true// 不修改请求头的键,不传递给上下文default:return "", false}})// 创建一个 HTTP 处理多路复用器,用于将 HTTP 请求分发到不同的处理程序。mux := runtime.NewServeMux(inComingOpt)// 为 "/upload" 路径添加一个处理程序,处理 POST 请求。mux.HandlePath("POST", "/upload", uploadHandler)// 配置一个不安全的 gRPC 连接选项,这仅适用于开发环境。opts := []grpc.DialOption{grpc.WithTransportCredentials(insecure.NewCredentials())}// 将 gRPC 方法映射为 HTTP 请求,使 HTTP 客户端可以与 gRPC 服务器通信。err := gw.RegisterUserHandlerFromEndpoint(ctx, mux, *grpcServerEndpoint, opts)// 如果注册处理程序时发生错误,返回该错误。if err != nil {return err}// 启动 HTTP 服务器,监听端口 8081,使用配置好的多路复用器处理请求。return http.ListenAndServe(":8081", mux)
}
这样改造后,无论是验证上下文中指定数据,还是验证请求头中的数据,只需要保持提取后,重新指定的待验证的key相同就可同时实现
结果演示
既可以验证authorization
也可以验证headers
https://github.com/0voice