Честно говоря, существует множество методов и методов аутентификации, которые вы можете установить в своем приложении, и это зависит от бизнес-логики и требований приложений.
Например, Oauth2, LDAP, локальная аутентификация и т. Д. В
моем ответе предполагается, что вы ищете локальную аутентификацию, что означает, что вы управляете идентификацией пользователя в своем приложении. Сервер должен предоставлять набор внешних API, позволяющих пользователям и администраторам управлять учетными записями и указывать, как они хотят идентифицировать себя на сервере для достижения надежного взаимодействия. в итоге вы создадите таблицу БД, содержащую информацию о пользователе. где пароль хешируется в целях безопасности См. Как хранить пароль в базе данных
Давайте предположим, что приложение требует проверки подлинности пользователей на основе одного из следующих методов:
базовая аутентификация (имя пользователя, пароль):
этот метод аутентификации зависит от наборов учетных данных пользователя в заголовке авторизации, закодированных в base64 и определенных в rfc7617 , в основном, когда приложение получает запрос пользователя, оно декодирует авторизацию и повторно хэширует пароль для сравнения его в БД хэш, если он совпадает, аутентифицированный пользователь, в противном случае возвращает код состояния 401 пользователю.
Аутентификация на основе сертификата:
этот метод аутентификации зависит от цифрового сертификата для идентификации пользователя, и он известен как аутентификация x509, поэтому, когда приложение получает запросы пользователя, оно читает сертификат клиента и проверяет его на соответствие предоставленному корневому сертификату CA. в приложение.
токен носителя:
этот метод аутентификации зависит от краткосрочных токенов доступа. Маркер носителя представляет собой загадочную строку, обычно генерируемую сервером в ответ на запрос входа в систему. поэтому, когда приложение получает запросы пользователя, оно считывает авторизацию и проверяет токен для аутентификации пользователя.
Тем не менее, я бы порекомендовал Go-Guardian
для библиотеки аутентификации, что она делает с помощью расширяемого набора методов аутентификации, известных как стратегии. в основном Go-Guardian не монтирует маршруты и не принимает какую-либо конкретную схему базы данных, что максимизирует гибкость и позволяет разработчикам принимать решения.
Настройка аутентификатора Go-Guardian проста.
Вот полный пример вышеперечисленных методов.
package main
import (
"context"
"crypto/x509"
"encoding/pem"
"fmt"
"io/ioutil"
"log"
"net/http"
"sync"
"github.com/golang/groupcache/lru"
"github.com/gorilla/mux"
"github.com/shaj13/go-guardian/auth"
"github.com/shaj13/go-guardian/auth/strategies/basic"
"github.com/shaj13/go-guardian/auth/strategies/bearer"
gx509 "github.com/shaj13/go-guardian/auth/strategies/x509"
"github.com/shaj13/go-guardian/store"
)
var authenticator auth.Authenticator
var cache store.Cache
func middleware(next http.Handler) http.HandlerFunc {
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
log.Println("Executing Auth Middleware")
user, err := authenticator.Authenticate(r)
if err != nil {
code := http.StatusUnauthorized
http.Error(w, http.StatusText(code), code)
return
}
log.Printf("User %s Authenticated\n", user.UserName())
next.ServeHTTP(w, r)
})
}
func Resource(w http.ResponseWriter, r *http.Request) {
w.Write([]byte("Resource!!\n"))
}
func Login(w http.ResponseWriter, r *http.Request) {
token := "90d64460d14870c08c81352a05dedd3465940a7"
user := auth.NewDefaultUser("admin", "1", nil, nil)
cache.Store(token, user, r)
body := fmt.Sprintf("token: %s \n", token)
w.Write([]byte(body))
}
func main() {
opts := x509.VerifyOptions{}
opts.KeyUsages = []x509.ExtKeyUsage{x509.ExtKeyUsageClientAuth}
opts.Roots = x509.NewCertPool()
// Read Root Ca Certificate
opts.Roots.AddCert(readCertificate("<root-ca>"))
cache = &store.LRU{
lru.New(100),
&sync.Mutex{},
}
// create strategies
x509Strategy := gx509.New(opts)
basicStrategy := basic.New(validateUser, cache)
tokenStrategy := bearer.New(bearer.NoOpAuthenticate, cache)
authenticator = auth.New()
authenticator.EnableStrategy(gx509.StrategyKey, x509Strategy)
authenticator.EnableStrategy(basic.StrategyKey, basicStrategy)
authenticator.EnableStrategy(bearer.CachedStrategyKey, tokenStrategy)
r := mux.NewRouter()
r.HandleFunc("/resource", middleware(http.HandlerFunc(Resource)))
r.HandleFunc("/login", middleware(http.HandlerFunc(Login)))
log.Fatal(http.ListenAndServeTLS(":8080", "<server-cert>", "<server-key>", r))
}
func validateUser(ctx context.Context, r *http.Request, userName, password string) (auth.Info, error) {
// here connect to db or any other service to fetch user and validate it.
if userName == "stackoverflow" && password == "stackoverflow" {
return auth.NewDefaultUser("stackoverflow", "10", nil, nil), nil
}
return nil, fmt.Errorf("Invalid credentials")
}
func readCertificate(file string) *x509.Certificate {
data, err := ioutil.ReadFile(file)
if err != nil {
log.Fatalf("error reading %s: %v", file, err)
}
p, _ := pem.Decode(data)
cert, err := x509.ParseCertificate(p.Bytes)
if err != nil {
log.Fatalf("error parseing certificate %s: %v", file, err)
}
return cert
}
Использование:
curl -k https://127.0.0.1:8080/login -u stackoverflow:stackoverflow
token: 90d64460d14870c08c81352a05dedd3465940a7
- Аутентифицироваться с помощью токена:
curl -k https://127.0.0.1:8080/resource -H "Authorization: Bearer 90d64460d14870c08c81352a05dedd3465940a7"
Resource!!
- Аутентификация с учетными данными пользователя:
curl -k https://127.0.0.1:8080/resource -u stackoverflow:stackoverflow
Resource!!
- Авторизуйтесь с помощью сертификата пользователя:
curl --cert client.pem --key client-key.pem --cacert ca.pem https://127.0.0.1:8080/resource
Resource!!
Вы можете включить несколько методов аутентификации одновременно. Вы должны обычно использовать по крайней мере два метода