在Golang应用程序中,我使用带有MySQL后端的大猩猩/会话将数据存储在会话中,但我想将数据存储在chi路由器上下文中。如何将身份验证令牌字符串或结构添加到上下文中?我看到了很多示例,这些示例解释了如何读取/使用它们,但没有一个示例可以解释如何将数据插入登录功能中的上下文中。
例如,chi文档here具有以下代码来检查对我有用的管理员用户,但它并没有提供关于auth对象如何首先进入上下文的线索。还有另一个中间件函数,描述了如何将文章结构加载到上下文中并从URL获取其id参数,但这对我不起作用。我真的不想使用cookie,因为那样会破坏使用上下文的整个目的。
// AdminOnly middleware restricts access to just administrators.
func AdminOnly(next http.Handler) http.Handler {
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
isAdmin, ok := r.Context().Value("acl.admin").(bool)
if !ok || !isAdmin {
http.Error(w, http.StatusText(http.StatusForbidden), http.StatusForbidden)
return
}
next.ServeHTTP(w, r)
})
}
在下面的示例中,我想在上下文中存储User结构或auth令牌。
此外,我将如何处理上下文中的闪烁?我可以这样做还是应该坚持使用基于db的Web应用程序会话?
理想情况下,我想对Web应用程序服务模板和单独的API应用程序使用相同的方法。
这是我的网络应用登录代码,简化了一些步骤以消除麻烦:
func (rs *appResource) login(w http.ResponseWriter, r *http.Request) {
// appResource contains db connection, session store and templates
var authUser AuthUser //struct
session, err := rs.store.Get(r, "admin-data")
email := r.FormValue("email")
password := r.FormValue("password")
sqlStatement := "SELECT id, venue_id, first_name, last_name, email, password FROM Users WHERE email=?"
row := rs.db.QueryRow(sqlStatement, email)
err = row.Scan(&authUser.UserID, &authUser.VenueID, &authUser.FirstName, &authUser.LastName, &authUser.Email, &authUser.Password)
if err = bcrypt.CompareHashAndPassword([]byte(authUser.Password), []byte(password)); err != nil {
session.AddFlash("Your password is incorrect")
session.Save(r, w)
http.Redirect(w, r, "/signin", http.StatusFound)
return
}
authUser.Authenticated = true
session.Values["authUser"] = authUser
firstName := authUser.FirstName
message := fmt.Sprintf("Welcome, %s!", firstName)
session.AddFlash(message)
session.Save(r, w)
http.Redirect(w, r, "/", http.StatusFound)
}
答案 0 :(得分:2)
从有关上下文的Go文档中,只需在上下文中设置值,只需使用WithValue。
要给您一个想法,最简单的示例是:
package main
import (
"fmt"
"context"
)
func main() {
const key = "myKey"
ctx := context.Background()
ctx := context.WithValue(ctx, key, "someVal")
v, ok := ctx.Value(key).(string)
if !ok {
fmt.Println("key does not exist in the context")
return
}
fmt.Printf("found %v", v)
}
现在,按照该示例,在上下文中设置新值非常容易。当我们谈论r.Context()时,来自它的上下文是先前在*http.Request请求中使用WithContext设置的。只是一个简单的例子:
package main
import (
"http"
"context"
)
func main() {
req, err := http.NewRequest(
http.MethodGet,
"/someEdp",
nil,
)
if err != nil {
fmt.Println(err)
return
}
ctx := context.Background()
ctx := context.WithValue(ctx, "auth-token", "mySecretToken")
req = req.WithContext(ctx)
// Do the request
}
要在您的处理程序中阅读它,就像这样简单:
func (rs *appResource) login(w http.ResponseWriter, r *http.Request) {
...
ctx := r.Context()
v, ok := ctx.Value("auth-token").(string)
if !ok {
fmt.Println("ups")
return
}
fmt.Printf("found %v", v)
// Do something
}
现在,如果要使用此机制在上下文中安全地存储和读取授权令牌,建议您看一下@Mat Ryer撰写的有关context keys的文章。
基本上,任何“拦截”您的请求的人都可以从您的请求中读取授权令牌,因为您使用字符串作为密钥。
相反,您应该定义您的私有上下文密钥,该私钥将允许您从上下文中设置/读取授权令牌。
package main
import (
"fmt"
"context"
)
type contextKey string
var contextKeyAuthtoken = contextKey("auth-token")
func setToken(ctx context.Context, token string) context.Context {
return context.WithValue(ctx, contextKeyAuthtoken, token)
}
func getToken(ctx context.Context) (string, bool) {
tokenStr, ok := ctx.Value(contextKeyAuthtoken).(string)
return tokenStr, ok
}
func main() {
ctx := context.Background()
ctx = setToken(ctx, "someToken")
t, ok := getToken(ctx)
if !ok {
fmt.Println("unauthorized")
return
}
fmt.Printf("authorized with token %v", t)
}
这是我为上面的代码段设置的playground。
因此,您将在请求的使用者(您的接收方处理程序)中使用getToken,并在另一个服务(?)或服务的另一个逻辑组件中使用setToken。
这样,您(只有您自己)将能够从上下文中读取您的授权令牌,并允许用户执行某项操作。