Go:通过证书验证经过身份验证的客户端的后续http请求
Go: validate subsequent http requests with authenticated client via certificate
我目前正在编写一个 HTTP 服务器 (net/http),它托管多个端点并且在访问这些端点之前需要客户端身份验证(步骤 1)。身份验证成功后,服务器会发出一个 short-lived 令牌,然后客户端使用该令牌访问这些端点。当客户端发送令牌时(通过 HTTP Header),在每个处理程序函数的开头都有一段代码来检查客户端是否已通过身份验证并且提供的令牌是否有效。我正在寻找一个 hook/wrapper,它可以拦截和验证客户端,而不是从每个端点函数调用 isAuthenticated(r)。
func getMyEndpoint(w http.ResponseWriter, r *http.Request) {
if valid := isAuthenticated(r); !valid {
w.WriteHeader(http.StatusUnauthorized)
io.WriteString(w, "Invalid token or Client not authenticated."
return
}
...
}
func server() {
http.HandleFunc("/login", clientLoginWithCertAuth)
http.HandleFunc("/endpoint1", getMyEndpoint)
http.HandleFunc("/endpoint2", putMyEndpoint)
server := &http.Server{
Addr: ":443",
TLSConfig: &tls.Config{
ClientCAs: caCertPool,
ClientAuth: tls.VerifyClientCertIfGiven,
},
}
if err := server.ListenAndServeTLS("cert.pem", "key.pem"); err != nil {
panic(err)
}
}
您可以创建一个可以包装 http.HandlerFunc 的函数,例如像这样:
func handleAuth(f http.HandlerFunc) http.HandlerFunc {
return func(w http.ResponseWriter, r *http.Request) {
if valid := isAuthenticated(r); !valid {
w.WriteHeader(http.StatusUnauthorized)
io.WriteString(w, "Invalid token or Client not authenticated.")
return // this return is *very* important
}
// Now call the actual handler, which is authenticated
f(w, r)
}
}
现在您还需要注册您的处理程序以通过将其包装在您的其他 http.HandlerFunc 周围来使用它(显然只有那些需要身份验证的):
func server() {
// No authentication for /login
http.HandleFunc("/login", clientLoginWithCertAuth)
// Authentication required
http.HandleFunc("/endpoint1", handleAuth(getMyEndpoint))
http.HandleFunc("/endpoint2", handleAuth(putMyEndpoint))
server := &http.Server{
Addr: ":443",
TLSConfig: &tls.Config{
ClientCAs: caCertPool,
ClientAuth: tls.VerifyClientCertIfGiven,
},
}
if err := server.ListenAndServeTLS("cert.pem", "key.pem"); err != nil {
panic(err)
}
}
这样,只有在 isAuthenticated returns true 时,您的处理程序才会被调用(由 handleAuth),而不会重复所有处理程序中的代码。
我目前正在编写一个 HTTP 服务器 (net/http),它托管多个端点并且在访问这些端点之前需要客户端身份验证(步骤 1)。身份验证成功后,服务器会发出一个 short-lived 令牌,然后客户端使用该令牌访问这些端点。当客户端发送令牌时(通过 HTTP Header),在每个处理程序函数的开头都有一段代码来检查客户端是否已通过身份验证并且提供的令牌是否有效。我正在寻找一个 hook/wrapper,它可以拦截和验证客户端,而不是从每个端点函数调用 isAuthenticated(r)。
func getMyEndpoint(w http.ResponseWriter, r *http.Request) {
if valid := isAuthenticated(r); !valid {
w.WriteHeader(http.StatusUnauthorized)
io.WriteString(w, "Invalid token or Client not authenticated."
return
}
...
}
func server() {
http.HandleFunc("/login", clientLoginWithCertAuth)
http.HandleFunc("/endpoint1", getMyEndpoint)
http.HandleFunc("/endpoint2", putMyEndpoint)
server := &http.Server{
Addr: ":443",
TLSConfig: &tls.Config{
ClientCAs: caCertPool,
ClientAuth: tls.VerifyClientCertIfGiven,
},
}
if err := server.ListenAndServeTLS("cert.pem", "key.pem"); err != nil {
panic(err)
}
}
您可以创建一个可以包装 http.HandlerFunc 的函数,例如像这样:
func handleAuth(f http.HandlerFunc) http.HandlerFunc {
return func(w http.ResponseWriter, r *http.Request) {
if valid := isAuthenticated(r); !valid {
w.WriteHeader(http.StatusUnauthorized)
io.WriteString(w, "Invalid token or Client not authenticated.")
return // this return is *very* important
}
// Now call the actual handler, which is authenticated
f(w, r)
}
}
现在您还需要注册您的处理程序以通过将其包装在您的其他 http.HandlerFunc 周围来使用它(显然只有那些需要身份验证的):
func server() {
// No authentication for /login
http.HandleFunc("/login", clientLoginWithCertAuth)
// Authentication required
http.HandleFunc("/endpoint1", handleAuth(getMyEndpoint))
http.HandleFunc("/endpoint2", handleAuth(putMyEndpoint))
server := &http.Server{
Addr: ":443",
TLSConfig: &tls.Config{
ClientCAs: caCertPool,
ClientAuth: tls.VerifyClientCertIfGiven,
},
}
if err := server.ListenAndServeTLS("cert.pem", "key.pem"); err != nil {
panic(err)
}
}
这样,只有在 isAuthenticated returns true 时,您的处理程序才会被调用(由 handleAuth),而不会重复所有处理程序中的代码。