gRPC授权方式

gRPC 服务授权通常需要在每个方法中进行 JWT 验证，这会产生大量样板代码。本文介绍了一种使用单一拦截器的通用解决方案，它可以验证每个请求的 JWT 并填充上下文中的声明。通过在客户端的上下文中传递 JWT 字符串并使用拦截器进行验证，可以避免在每个服务方法中重复授权逻辑，从而简化开发并提高代码可维护性。

我致力于 go grpc 服务和实现授权。从字面上看，必须根据 jwt 声明允许或禁止访问 gprc 方法。

我在 grpc.unaryserverinterceptor 级别上进行 jwt 解析 - 提取声明并用值填充上下文，如果没有 jwt 或不正确，则未经身份验证。

func (s *Server) GetSomething(ctx context.Context, req *GetSomething Request) (*GetSomething Response, error) {
    if hasAccessTo(ctx, req.ID) {
        //some work here
    }
}

func hasAccessTo(ctx context.Context, string id) {
    value := ctx.Value(ctxKey).(MyStruct)
    //some work here

}

所以我想知道授权/身份验证是否有一些常见的做法来避免每个 grpc 服务器方法中的样板代码？

解决方案

如果你想在每个请求上验证jwt，你可以像这样调用unaryinterceptor

// middleware for each rpc request. this function verifies the client has the correct "jwt".
func authinterceptor(ctx context.context, req interface{}, _ *grpc.unaryserverinfo, handler grpc.unaryhandler) (interface{}, error) {
    meta, ok := metadata.fromincomingcontext(ctx)
    if !ok {
        return nil, status.error(codes.unauthenticated, "internal_server_error")
    }
    if len(meta["jwt"]) != 1 {
        return nil, status.error(codes.unauthenticated, "internal_server_error")
    }

    // if code here to verify jwt is correct. if not return nil and error by accessing meta["jwt"][0]

    return handler(ctx, req) // go to function.
}

在客户端的 context 中，使用 metadata 传递 jwt 字符串并进行验证。

在你的主函数中记得像这样注册它

// register server
myservice := grpc.newserver(
    grpc.unaryinterceptor(authinterceptor), // use auth interceptor middleware
)
pb.registertheserviceserver(myservice, &s)
reflection.register(myservice)

您的客户端需要像这样调用您的服务器：

// create context with token and timeout
ctx, cancel := context.WithTimeout(metadata.NewOutgoingContext(context.Background(), metadata.New(map[string]string{"jwt": "myjwtstring"})), time.Second*1)
defer cancel()

本篇关于《gRPC授权方式》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于Golang的相关知识，请关注golang学习网公众号！