【gRPC-gateway】auth-通过拦截器从上下文中提取元数据用于认证，与从http header转发待认证数据到上下文进行验证，go案例

从grpc上下文中提取元数据用于认证 案例

interceptor.go

package serverimport ("context""errors""google.golang.org/grpc""google.golang.org/grpc/metadata""strings"
)// UnaryInterceptor 是一个 unary RPC 的拦截器，用于在处理请求前进行身份认证。
// 参数:
//
//	ctx - 上下文，用于传递请求相关的元数据。
//	req - 请求的数据。
//	info - 包含被拦截的 RPC 方法的信息。
//	handler - 下游的处理器，用于执行实际的 RPC 方法。
//
// 返回值:
//
//	响应数据和可能的错误。
func UnaryInterceptor(ctx context.Context, req any, info *grpc.UnaryServerInfo, handler grpc.UnaryHandler) (resp any, err error) {// 在执行实际的处理函数前进行身份认证。err = auth(ctx)if err != nil {return nil, err}// 身份认证通过后，调用实际的处理函数。return handler(ctx, req)
}// StreamInterceptor 是一个 streaming RPC 的拦截器，用于在处理请求前进行身份认证。
// 参数:
//
//	srv - 服务器的实现。
//	ss - 服务器流，用于读取请求和写入响应。
//	info - 包含被拦截的 streaming RPC 方法的信息。
//	handler - 下游的处理器，用于执行实际的 streaming RPC 方法。
//
// 返回值:
//
//	可能的错误。
func StreamInterceptor(srv any, ss grpc.ServerStream, info *grpc.StreamServerInfo, handler grpc.StreamHandler) error {// 在执行实际的处理函数前进行身份认证。err := auth(ss.Context())if err != nil {return err}// 身份认证通过后，调用实际的处理函数。return handler(srv, ss)
}// auth 函数用于执行身份认证逻辑。
// 参数:
//
//	ctx - 上下文，用于传递请求相关的元数据。
//
// 返回值:
//
//	如果身份认证失败，返回错误；否则返回 nil。
func auth(ctx context.Context) error {// 从上下文中提取元数据，用于身份认证。md, ok := metadata.FromIncomingContext(ctx)if !ok {return errors.New("元数据获取失败，身份认证失败")}// 检查元数据中是否包含认证信息。authorization := md["authorization"]if len(authorization) < 1 {return errors.New("元数据获取失败，身份认证失败")}// 提取并验证 token。token := strings.TrimPrefix(authorization[0], "Bearer ")if token != bearerToken {return errors.New("身份认证失败")}// 身份认证成功。return nil
}// bearerToken 是用于身份认证的密钥。
var bearerToken = "asdfgh"

main.go

s := grpc.NewServer(grpc.UnaryInterceptor(server.UnaryInterceptor), grpc.StreamInterceptor(server.StreamInterceptor))

---

从http header转发到grpc上下文进行认证 案例

• 因为gateway负责，将远端http请求转为gRPC从而与grpc服务器通信，所以应该在gateway中处理http header，使其中需要的部分放入grpc上下文中

通过在runtime.NewServeMux(inComingOpt)中添加处理函数inComingOpt可以解决

可以看到NewServeMux还支持很多操作

gateway.go

package gatewayimport ("context""flag""github.com/grpc-ecosystem/grpc-gateway/v2/runtime"gw "golang19-grpc-gateway/user/proto""google.golang.org/grpc""google.golang.org/grpc/credentials/insecure""net/http"
)var (// grpc服务器端点grpcServerEndpoint = flag.String("grpc-server-endpoint", "localhost:50051", "gRPC server endpoint")
)// Run 启动一个 HTTP 服务器，用于将 HTTP 请求转发到 gRPC 服务器。
// 该函数配置了一个 HTTP 多路复用器以处理不同的 HTTP 路径，并将这些路径与 gRPC 方法关联起来。
// 它还设置了一个不安全的 gRPC 连接选项，仅适用于开发环境。
// 返回值: 如果 HTTP 服务器启动失败或在处理请求时遇到错误，则返回错误。
func Run() error {// 初始化一个上下文对象，用于取消操作和传递请求范围的值。ctx := context.Background()// 创建一个可取消的上下文，以便在函数退出时取消可能的挂起操作。ctx, cancel := context.WithCancel(ctx)// 确保在函数退出时取消上下文。defer cancel()// inComingOpt 配置了一个处理传入的http请求头的选项// 该选项使用一个函数来检查和转换请求头的键// 该匹配器函数决定哪些传入的HTTP头应该被传递给gRPC上下文，以及是否应该修改这些头的键。inComingOpt := runtime.WithIncomingHeaderMatcher(func(s string) (string, bool) {// 如果matcher返回true，则该标头将传递给gRPC上下文。要在传递给gRPC上下文之前转换标头，匹配器应返回修改后的标头。switch s {// 对于"Service-Authorization"头，将其转换为"service-authorization"并传递给gRPC上下文。case "Service-Authorization":return "authorization", true// 不修改请求头的键，不传递给上下文default:return "", false}})// 创建一个 HTTP 处理多路复用器，用于将 HTTP 请求分发到不同的处理程序。mux := runtime.NewServeMux(inComingOpt)// 为 "/upload" 路径添加一个处理程序，处理 POST 请求。mux.HandlePath("POST", "/upload", uploadHandler)// 配置一个不安全的 gRPC 连接选项，这仅适用于开发环境。opts := []grpc.DialOption{grpc.WithTransportCredentials(insecure.NewCredentials())}// 将 gRPC 方法映射为 HTTP 请求，使 HTTP 客户端可以与 gRPC 服务器通信。err := gw.RegisterUserHandlerFromEndpoint(ctx, mux, *grpcServerEndpoint, opts)// 如果注册处理程序时发生错误，返回该错误。if err != nil {return err}// 启动 HTTP 服务器，监听端口 8081，使用配置好的多路复用器处理请求。return http.ListenAndServe(":8081", mux)
}

这样改造后，无论是验证上下文中指定数据，还是验证请求头中的数据，只需要保持提取后，重新指定的待验证的key相同就可同时实现

结果演示

既可以验证authorization

---

也可以验证headers

---

https://github.com/0voice