我从事go grpc服务和实施授权。从字面上看,必须基于JWT声明允许或禁止访问gprc方法。
我在grpc.UnaryServerInterceptor级进行JWT解析-提取声明并使用值填充上下文,如果没有jwt或它不正确,则未经身份验证。
func (s *Server) GetSomething(ctx context.Context, req *GetSomething Request) (*GetSomething Response, error) {
if hasAccessTo(ctx, req.ID) {
//some work here
}
}
func hasAccessTo(ctx context.Context, string id) {
value := ctx.Value(ctxKey).(MyStruct)
//some work here
}
所以我想知道是否存在一些常见的授权/身份验证实践,以避免每个grpc服务器方法中的样板代码?
答案 0 :(得分:1)
您可以像这样调用UnaryInterceptor,如果您想在每个请求上验证jwt
// middleware for each rpc request. This function verifies the client has the correct "jwt".
func authInterceptor(ctx context.Context, req interface{}, _ *grpc.UnaryServerInfo, handler grpc.UnaryHandler) (interface{}, error) {
meta, ok := metadata.FromIncomingContext(ctx)
if !ok {
return nil, status.Error(codes.Unauthenticated, "INTERNAL_SERVER_ERROR")
}
if len(meta["jwt"]) != 1 {
return nil, status.Error(codes.Unauthenticated, "INTERNAL_SERVER_ERROR")
}
// if code here to verify jwt is correct. if not return nil and error by accessing meta["jwt"][0]
return handler(ctx, req) // go to function.
}
在客户端的context中,使用metadata传递jwt字符串并进行验证。
在您的主要功能中,记得像这样注册它
// register server
myService := grpc.NewServer(
grpc.UnaryInterceptor(authInterceptor), // use auth interceptor middleware
)
pb.RegisterTheServiceServer(myService, &s)
reflection.Register(myService)
您的客户端需要像这样调用您的服务器:
// create context with token and timeout
ctx, cancel := context.WithTimeout(metadata.NewOutgoingContext(context.Background(), metadata.New(map[string]string{"jwt": "myjwtstring"})), time.Second*1)
defer cancel()