探索 Go GRPC 中的授权标记

哈喽！大家好，很高兴又见面了，我是golang学习网的一名作者，今天由我给大家带来一篇《探索 Go GRPC 中的授权标记》，本文主要会讲到等等知识点，希望大家一起学习进步，也欢迎大家关注、点赞、收藏、转发! 下面就一起来看看吧！

我有一个 grpc 服务器，其 api 的授权如下：

func (s *MyServer) MyAPI(ctx context.Context, req MyAPIRequest) (MyAPIResponse, error) {
  isAuthorized, err = s.IsAuthorized(ctx, req.UserId, Role.User) // other APIs may use a different authorization function than IsAuthorized
  if err != nil {
    return nil, err
  }
  
  if !isAuthorized {
    return nil,  status.Error(codes.PermissionDenied, "not authorized")
  }

  // rest of API code
}

我想知道如何：

1. 简化授权逻辑的使用，例如注释。我更熟悉 java，它就像 @authorize(ctx = ctx, req = req, role = role.user) 位于 func 上方。
2. 需要对 api 进行授权检查，这样，如果至少有一个 api 缺少授权，构建就会失败。我正在使用巴泽尔。请注意，并非所有 func (s *myserver) 都是 api。

这是我的想法：

1. 。
   • 创建一个 yaml 文件，其中包含方法名称和授权规则的键值对。示例是 myapi: isuseridauthorizedasuser ，它将转换为 s.isauthorized(ctx, req.userid, role.user)。
   • 创建一个拦截器，用于查找请求方法名称的 authz 规则并调用相应的 authz 函数。
2. 有一个 bazel 构建规则，用于解析 rpc 的原始文件，这些都是 api 方法名称，如果不是所有这些都在规则列表中，则会失败。我还不知道该怎么做。

如果对我的想法或更好的方法有任何建议，我将不胜感激。

解决方案

我将使用拦截器（grpc.unaryinterceptor）来处理身份验证/授权过程。它类似于经典的spring过滤器（java世界）。

您可以在这里阅读有关拦截器的信息：https://shijuvar.medium.com/writing-grpc-interceptors-in-go-bf3e7671fe48

您可以轻松链接多个拦截器或为每个 grpc 方法设置拦截器。

下面是我几个月前编写的一个拦截器（它使用 jwt 作为身份验证机制）。您可以使用它作为示例：

func (jwt JwtInterceptor) Interceptor(
   ctx context.Context,
   req interface{},
   info *grpc.UnaryServerInfo,
   handler grpc.UnaryHandler) (interface{}, error) {

    md, _ := metadata.FromIncomingContext(ctx)

    token := md["jwt"]

    if token == nil {
        return nil, errors.New("token not present")
    }

   apiClaims, err := jwt.decoder.Parse(token[0])
   if err != nil {
     return nil, errors.New("token signature not valid")
   }

   return handler(context.WithValue(ctx, "jwt", apiClaims), req)
 }

今天关于《探索 Go GRPC 中的授权标记》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！