Golang实现HTTP基本认证与Header操作

哈喽！今天心血来潮给大家带来了《Golang实现HTTP Basic认证及Header操作示例》，想必大家应该对Golang都不陌生吧，那么阅读本文就都不会很困难，以下内容主要涉及到，若是你正在学习Golang，千万别错过这篇文章~希望能帮助到你！

Basic认证Header需写为“Basic base64(username:password)”，含Basic前缀、空格及标准Base64编码；服务端须校验前缀、解码并分割凭据，失败返回401及WWW-Authenticate头。

Basic认证的Header怎么写才有效

HTTP Basic认证依赖 Authorization 请求头，格式必须是 Basic base64(username:password)，缺一不可。常见错误是手动拼接字符串后忘记 Base64 编码，或编码了但没加 Basic 前缀（注意后面有个空格）。

Go 标准库不提供自动构造该 Header 的函数，得自己处理。推荐用 base64.StdEncoding.EncodeToString，别用 URLEncoding —— 后者会把 + 和 / 替换成别的字符，服务端无法识别。

auth := "user:pass"
encoded := base64.StdEncoding.EncodeToString([]byte(auth))
req.Header.Set("Authorization", "Basic "+encoded)

服务端如何解析并校验Basic认证

服务端需从 req.Header.Get("Authorization") 取值，检查是否以 "Basic " 开头（注意空格），再 Base64 解码，最后按 : 拆分用户名和密码。解码失败、拆分后少于 2 段、或凭据不匹配，都应返回 401 Unauthorized 并带上 WWW-Authenticate Header。

• 必须校验前缀大小写："basic " 或 "BASIC " 都无效
• Base64 解码要用 base64.StdEncoding.DecodeString，不能忽略错误
• 拆分时建议用 strings.SplitN(headerValue, ":", 2)，防止密码含冒号被误切
• WWW-Authenticate 的值必须是 "Basic realm=\"myapp\""，realm 是可选字符串，但双引号不能少

用net/http自带的ServeMux怎么加Basic中间件

标准 http.ServeMux 不支持中间件，但可以用闭包包装 handler 函数实现校验逻辑复用。关键点是：校验失败时直接 writeHeader + return，不要继续调用下一层 handler。

func basicAuth(next http.Handler) http.Handler {
    return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
        auth := r.Header.Get("Authorization")
        if !strings.HasPrefix(auth, "Basic ") {
            w.Header().Set("WWW-Authenticate", `Basic realm="restricted"`)
            http.Error(w, "Unauthorized", http.StatusUnauthorized)
            return
        }
        decoded, err := base64.StdEncoding.DecodeString(auth[6:])
        if err != nil {
            http.Error(w, "Bad credentials", http.StatusUnauthorized)
            return
        }
        parts := strings.SplitN(string(decoded), ":", 2)
        if len(parts) != 2 || parts[0] != "admin" || parts[1] != "secret" {
            w.Header().Set("WWW-Authenticate", `Basic realm="restricted"`)
            http.Error(w, "Unauthorized", http.StatusUnauthorized)
            return
        }
        next.ServeHTTP(w, r)
    })
}

http.ListenAndServe(":8080", basicAuth(http.DefaultServeMux))

为什么用gorilla/mux或chi更省事

原生 net/http 的路由能力弱，Basic 认证逻辑容易散落在多个 handler 中。第三方路由器如 chi 支持 Middleware 接口，可统一注入；gorilla/mux 虽无原生中间件，但能用 Router.Use() 注册链式 handler。它们还内置了 BasicAuth 工具函数（比如 chi 的 middleware.BasicAuth），底层已处理前缀校验、Base64 编解码、realm 构造等细节，避免手写出错。

但要注意：这些封装默认只做校验，不帮你存 session 或做 RBAC。如果需要角色控制，仍得在认证通过后从 context 取用户信息再判断——这步必须自己补全，库不会越界。

今天关于《Golang实现HTTP基本认证与Header操作》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！