Golang gRPC认证与权限控制示例-Golang-PHP中文网

Golang gRPC认证与权限控制示例

P粉602998670

发布： 2025-09-29 16:27:02

原创

432人浏览过

通过TLS加密和JWT认证拦截器实现gRPC服务安全，结合角色权限控制，确保接口访问的安全性与可靠性。

golang grpc认证与权限控制示例

在使用 Golang 和 gRPC 构建微服务时，认证与权限控制是保障服务安全的关键环节。gRPC 原生支持基于 TLS 的传输层安全，并可通过拦截器（Interceptor）实现应用层的认证和权限校验。下面通过一个简单示例展示如何实现 JWT 认证与角色权限控制。

启用 TLS 加密通信

安全的 gRPC 服务应始终启用 TLS，防止数据被窃听或篡改。

生成自签名证书（用于测试）：

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes -subj "/CN=localhost"

服务端启用 TLS：

creds, err := credentials.NewServerTLSFromFile("cert.pem", "key.pem")
if err != nil {
    log.Fatal(err)
}
s := grpc.NewServer(grpc.Creds(creds))
pb.RegisterYourServiceServer(s, &server{})

登录后复制

客户端连接时也需提供证书：

creds, err := credentials.NewClientTLSFromFile("cert.pem", "localhost")
if err != nil {
    log.Fatal(err)
}
conn, err := grpc.Dial("localhost:50051", grpc.WithTransportCredentials(creds))

登录后复制

使用拦截器实现 JWT 认证

通过 UnaryInterceptor 对每个请求进行身份验证，提取 JWT 并解析用户信息。

定义认证拦截器：

func AuthInterceptor(ctx context.Context, req interface{}, info *grpc.UnaryServerInfo, handler grpc.UnaryHandler) (interface{}, error) {
    // 获取元数据
    md, ok := metadata.FromIncomingContext(ctx)
    if !ok {
        return nil, status.Errorf(codes.Unauthenticated, "missing metadata")
    }

    values := md["authorization"]
    if len(values) == 0 {
        return nil, status.Errorf(codes.Unauthenticated, "missing token")
    }

    tokenStr := strings.TrimPrefix(values[0], "Bearer ")
    claims := &jwt.MapClaims{}
    token, err := jwt.ParseWithClaims(tokenStr, claims, func(token *jwt.Token) (interface{}, error) {
        return []byte("your-secret-key"), nil
    })

    if err != nil || !token.Valid {
        return nil, status.Errorf(codes.Unauthenticated, "invalid token")
    }

    // 将用户信息注入上下文
    ctx = context.WithValue(ctx, "user", (*claims)["sub"])
    return handler(ctx, req)
}

登录后复制

注册拦截器：

s := grpc.NewServer(grpc.UnaryInterceptor(AuthInterceptor))

登录后复制

基于角色的权限控制

可在拦截器中进一步检查用户角色，限制对敏感接口的访问。

芦笋演示

一键出成片的录屏演示软件，专为制作产品演示、教学课程和使用教程而设计。

查看详情

立即学习“go语言免费学习笔记（深入）”；

扩展拦截器实现权限校验：

var protectedMethods = map[string]string{
    "/pb.YourService/DeleteUser": "admin",
    "/pb.YourService/ManageData": "editor",
}

func AuthInterceptor(ctx context.Context, req interface{}, info *grpc.UnaryServerInfo, handler grpc.UnaryHandler) (interface{}, error) {
    // ... JWT 解析逻辑

    requiredRole, isProtected := protectedMethods[info.FullMethod]
    if !isProtected {
        return handler(ctx, req) // 非保护接口直接放行
    }

    userRole := (*claims)["role"].(string)
    if userRole != requiredRole {
        return nil, status.Errorf(codes.PermissionDenied, "insufficient role")
    }

    return handler(ctx, req)
}

登录后复制

客户端调用示例：

md := metadata.Pairs("authorization", "Bearer "+jwtToken)
ctx := metadata.NewOutgoingContext(context.Background(), md)
resp, err := client.SomeMethod(ctx, &pb.Request{})

登录后复制

基本上就这些。结合 TLS、JWT 和拦截器，可以构建出安全可靠的 gRPC 服务认证体系。实际项目中建议使用更完善的库如 google.golang.org/grpc/credentials/oauth 或集成 OAuth2、OpenID Connect 等标准方案。

以上就是Golang gRPC认证与权限控制示例的详细内容，更多请关注php中文网其它相关文章！