gRPC 授权方式

Question

我从事 go grpc 服务并实施授权。从字面上看，必须根据 JWT 声明允许或禁止访问 gprc 方法。

我在 grpc.UnaryServerInterceptor 级别进行 JWT 解析 - 提取声明并使用值填充上下文，如果没有 jwt 或它不正确，则未经身份验证。

func (s *Server) GetSomething(ctx context.Context, req *GetSomething Request) (*GetSomething Response, error) {
    if hasAccessTo(ctx, req.ID) {
        //some work here
    }
}

func hasAccessTo(ctx context.Context, string id) {
    value := ctx.Value(ctxKey).(MyStruct)
    //some work here

}

所以我想知道是否有一些常见的授权/身份验证做法来避免每个 grpc 服务器方法中的样板代码？

Answer 1

如果您想在每个请求上验证 jwt，您可以像这样调用 UnaryInterceptor

// middleware for each rpc request. This function verifies the client has the correct "jwt".
func authInterceptor(ctx context.Context, req interface{}, _ *grpc.UnaryServerInfo, handler grpc.UnaryHandler) (interface{}, error) {
    meta, ok := metadata.FromIncomingContext(ctx)
    if !ok {
        return nil, status.Error(codes.Unauthenticated, "INTERNAL_SERVER_ERROR")
    }
    if len(meta["jwt"]) != 1 {
        return nil, status.Error(codes.Unauthenticated, "INTERNAL_SERVER_ERROR")
    }

    // if code here to verify jwt is correct. if not return nil and error by accessing meta["jwt"][0]

    return handler(ctx, req) // go to function.
}

在来自客户端的context 中，使用metadata 传递jwt 字符串并进行验证。

在你的主函数中记得像这样注册它

// register server
myService := grpc.NewServer(
    grpc.UnaryInterceptor(authInterceptor), // use auth interceptor middleware
)
pb.RegisterTheServiceServer(myService, &s)
reflection.Register(myService)

您的客户需要像这样调用您的服务器：

// create context with token and timeout
ctx, cancel := context.WithTimeout(metadata.NewOutgoingContext(context.Background(), metadata.New(map[string]string{"jwt": "myjwtstring"})), time.Second*1)
defer cancel()