使用JWT实现Golang微服务间认证与授权,通过HTTP中间件验证令牌并控制权限。1. 发送方生成含iss、aud声明的JWT;2. 接收方中间件校验签名、过期时间及请求头格式;3. 校验aud、iss匹配目标服务;4. 可扩展基于角色或服务名的授权逻辑;5. 结合HTTPS、密钥管理与日志审计提升安全性。
在微服务架构中,服务间认证与授权是保障系统安全的关键环节。Golang 因其高性能和简洁语法,广泛用于构建后端服务。本文通过一个实际示例,展示如何在 Golang 服务之间实现安全的认证与授权机制,使用 JWT(JSON Web Token)进行身份验证,并结合 HTTP 中间件完成权限控制。
服务间通信通常采用 HTTP 或 gRPC。为了确保请求来自可信服务,可以在请求头中携带 JWT 令牌。发送方服务在调用前生成签名 token,接收方验证其合法性。
以下是一个生成 JWT 的示例:
package main
import (
"fmt"
"log"
"time"
"github.com/golang-jwt/jwt/v5"
)
var signingKey = []byte("your-very-secret-key") // 应从环境变量读取
func generateServiceToken(issuer string, audience string) (string, error) {
claims := &jwt.MapClaims{
"iss": issuer, // 发行者
"aud": audience, // 接收者
"exp": time.Now().Add(time.Hour).Unix(),
"iat": time.Now().Unix(),
"sub": "service-auth",
}
token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
return token.SignedString(signingKey)
}
调用方使用 generateServiceToken("auth-service", "user-service") 生成 token,并将其放入请求头:
立即学习“go语言免费学习笔记(深入)”;
req, _ := http.NewRequest("GET", "http://user-service/api/users", nil)
req.Header.Set("Authorization", "Bearer "+token)
接收方服务应通过中间件拦截请求,验证 JWT 的签名、过期时间及声明信息。
func AuthMiddleware(next http.Handler) http.Handler {
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
authHeader := r.Header.Get("Authorization")
if authHeader == "" {
http.Error(w, "Authorization header missing", http.StatusUnauthorized)
return
}
tokenStr := ""
if len(authHeader) > 7 && authHeader[:7] == "Bearer " {
tokenStr = authHeader[7:]
} else {
http.Error(w, "Invalid token format", http.StatusUnauthorized)
return
}
token, err := jwt.Parse(tokenStr, func(token *jwt.Token) (interface{}, error) {
if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
return nil, fmt.Errorf("unexpected signing method")
}
return signingKey, nil
})
if err != nil || !token.Valid {
http.Error(w, "Invalid or expired token", http.StatusUnauthorized)
return
}
// 可选:检查 issuer 和 audience
if claims, ok := token.Claims.(jwt.MapClaims); ok {
if claims["aud"] != "user-service" {
http.Error(w, "Invalid audience", http.StatusForbidden)
return
}
}
next.ServeHTTP(w, r)
})
}
将此中间件注册到路由中即可保护接口:
http.Handle("/api/users", AuthMiddleware(http.HandlerFunc(getUsers)))
除了认证,还需判断调用方是否有权访问特定资源。可在 JWT 中加入自定义声明如 scopes 或 allowed_services。
例如,只允许 billing-service 访问支付接口:
if claims, ok := token.Claims.(jwt.MapClaims); ok {
if service := claims["iss"].(string); service != "billing-service" {
http.Error(w, "Access denied: insufficient privileges", http.StatusForbidden)
return
}
}
也可扩展为更复杂的策略引擎,比如集成 Casbin 进行细粒度权限控制。
基本上就这些。这套机制适用于大多数内部服务间调用场景,不复杂但能有效防止未授权访问。随着系统演进,可逐步引入 OAuth2 或 SPIFFE 等标准方案。
以上就是Golang服务间认证与授权实践示例的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告
收藏
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
933
