Szczerze mówiąc, istnieje wiele metod i technik uwierzytelniania, które można zamontować w aplikacji i które zależą od logiki biznesowej i wymagań aplikacji.
Na przykład Oauth2, LDAP, lokalne uwierzytelnianie itp.
Moja odpowiedź zakłada, że szukasz lokalnego uwierzytelnienia, co oznacza, że zarządzasz tożsamościami użytkownika w aplikacji. Serwer musi udostępniać zestaw zewnętrznych interfejsów API, umożliwiających użytkownikom i administratorom zarządzanie kontami oraz sposób, w jaki chcą się identyfikować na serwerze, aby uzyskać wiarygodną komunikację. w końcu utworzysz tabelę DB zawierającą informacje o użytkowniku. gdzie hasło jest mieszane ze względów bezpieczeństwa Zobacz Jak przechowywać hasło w bazie danych
przyjmijmy wymagania aplikacji do uwierzytelnienia użytkowników na podstawie jednej z następujących metod:
podstawowe uwierzytelnianie (nazwa użytkownika, hasło):
Ta metoda autoryzacji zależy od zestawu danych uwierzytelniających użytkownika w nagłówku autoryzacji zakodowanym w base64 i zdefiniowanym w rfc7617 , w zasadzie, gdy aplikacja otrzyma żądanie użytkownika, dekoduje autoryzację i ponownie hashuje hasło, aby porównać je w DB skrót, jeśli jest zgodny, użytkownik uwierzytelniony, w przeciwnym razie zwraca kod stanu 401 użytkownikowi.
uwierzytelnianie oparte na certyfikatach:
ta metoda uwierzytelniania zależy od certyfikatu cyfrowego w celu identyfikacji użytkownika i jest znana jako uwierzytelnianie x509, więc gdy aplikacja odbierze żądanie użytkownika, odczytuje certyfikat klienta i weryfikuje, czy jest on zgodny z podanym certyfikatem głównym CA do aplikacji.
token na okaziciela:
ta metoda uwierzytelniania zależy od krótkoterminowych tokenów dostępu, token na okaziciela jest szyfrowanym ciągiem, zwykle generowanym przez serwer w odpowiedzi na żądanie logowania. więc gdy aplikacja otrzyma żądanie użytkownika, odczyta autoryzację i zweryfikuje token w celu uwierzytelnienia użytkownika.
Jednak polecam go-guardian
dla biblioteki uwierzytelniania, która robi to poprzez rozszerzalny zestaw metod uwierzytelniania zwanych strategiami. w zasadzie Go-Guardian nie montuje tras ani nie zakłada żadnego konkretnego schematu bazy danych, co maksymalizuje elastyczność i umożliwia podejmowanie decyzji przez programistę.
Utworzenie uwierzytelniającego go-guardian jest proste.
Oto pełny przykład powyższych metod.
package main
import (
"context"
"crypto/x509"
"encoding/pem"
"fmt"
"io/ioutil"
"log"
"net/http"
"sync"
"github.com/golang/groupcache/lru"
"github.com/gorilla/mux"
"github.com/shaj13/go-guardian/auth"
"github.com/shaj13/go-guardian/auth/strategies/basic"
"github.com/shaj13/go-guardian/auth/strategies/bearer"
gx509 "github.com/shaj13/go-guardian/auth/strategies/x509"
"github.com/shaj13/go-guardian/store"
)
var authenticator auth.Authenticator
var cache store.Cache
func middleware(next http.Handler) http.HandlerFunc {
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
log.Println("Executing Auth Middleware")
user, err := authenticator.Authenticate(r)
if err != nil {
code := http.StatusUnauthorized
http.Error(w, http.StatusText(code), code)
return
}
log.Printf("User %s Authenticated\n", user.UserName())
next.ServeHTTP(w, r)
})
}
func Resource(w http.ResponseWriter, r *http.Request) {
w.Write([]byte("Resource!!\n"))
}
func Login(w http.ResponseWriter, r *http.Request) {
token := "90d64460d14870c08c81352a05dedd3465940a7"
user := auth.NewDefaultUser("admin", "1", nil, nil)
cache.Store(token, user, r)
body := fmt.Sprintf("token: %s \n", token)
w.Write([]byte(body))
}
func main() {
opts := x509.VerifyOptions{}
opts.KeyUsages = []x509.ExtKeyUsage{x509.ExtKeyUsageClientAuth}
opts.Roots = x509.NewCertPool()
// Read Root Ca Certificate
opts.Roots.AddCert(readCertificate("<root-ca>"))
cache = &store.LRU{
lru.New(100),
&sync.Mutex{},
}
// create strategies
x509Strategy := gx509.New(opts)
basicStrategy := basic.New(validateUser, cache)
tokenStrategy := bearer.New(bearer.NoOpAuthenticate, cache)
authenticator = auth.New()
authenticator.EnableStrategy(gx509.StrategyKey, x509Strategy)
authenticator.EnableStrategy(basic.StrategyKey, basicStrategy)
authenticator.EnableStrategy(bearer.CachedStrategyKey, tokenStrategy)
r := mux.NewRouter()
r.HandleFunc("/resource", middleware(http.HandlerFunc(Resource)))
r.HandleFunc("/login", middleware(http.HandlerFunc(Login)))
log.Fatal(http.ListenAndServeTLS(":8080", "<server-cert>", "<server-key>", r))
}
func validateUser(ctx context.Context, r *http.Request, userName, password string) (auth.Info, error) {
// here connect to db or any other service to fetch user and validate it.
if userName == "stackoverflow" && password == "stackoverflow" {
return auth.NewDefaultUser("stackoverflow", "10", nil, nil), nil
}
return nil, fmt.Errorf("Invalid credentials")
}
func readCertificate(file string) *x509.Certificate {
data, err := ioutil.ReadFile(file)
if err != nil {
log.Fatalf("error reading %s: %v", file, err)
}
p, _ := pem.Decode(data)
cert, err := x509.ParseCertificate(p.Bytes)
if err != nil {
log.Fatalf("error parseing certificate %s: %v", file, err)
}
return cert
}
Stosowanie:
curl -k https://127.0.0.1:8080/login -u stackoverflow:stackoverflow
token: 90d64460d14870c08c81352a05dedd3465940a7
- Uwierzytelnij się za pomocą tokena:
curl -k https://127.0.0.1:8080/resource -H "Authorization: Bearer 90d64460d14870c08c81352a05dedd3465940a7"
Resource!!
- Uwierzytelnij się przy użyciu poświadczenia użytkownika:
curl -k https://127.0.0.1:8080/resource -u stackoverflow:stackoverflow
Resource!!
- Uwierzytelnij się za pomocą certyfikatu użytkownika:
curl --cert client.pem --key client-key.pem --cacert ca.pem https://127.0.0.1:8080/resource
Resource!!
Możesz włączyć wiele metod uwierzytelniania jednocześnie. Zwykle powinieneś użyć co najmniej dwóch metod