gRPC with JWT

在 gRPC 中使用 JWT（JSON Web Tokens）进行身份验证是一种常见的做法，它可以帮助你确保请求方的身份和权限。下面是一种使用 gRPC 和 JWT 进行身份验证的步骤：

• 生成和签发 JWT： 在用户登录成功后，你需要生成一个 JWT 并将其签发给用户。JWT 中可以包含一些有关用户身份、角色、权限等的信息。
  
• 在 gRPC 的上下文中传递 JWT： 当客户端发送 gRPC 请求时，可以将 JWT 放置在 gRPC 请求的元数据（Metadata）中，作为请求的一部分。这样，服务器端就可以获取 JWT 并对其进行验证。
  
• 服务器端验证 JWT： 在 gRPC 服务端，你需要编写代码来验证接收到的 JWT。这通常涉及到验证 JWT 的签名是否有效，以及检查其中的身份信息和权限等。
  
• 决策和授权： 根据验证后的 JWT 信息，你可以决定是否允许用户继续访问请求的资源。这可能涉及到一些授权策略和业务逻辑。
  

以下是一个简单的示例，展示如何在 gRPC 中使用 JWT 进行身份验证：
proto文件

内容如下：

1. syntax = "proto3";
3. package chaincode.pb;
5. option go_package = "./;pb";
7. message HelloRequest { string name = 1; }
8. message HelloResponse { string reply = 2; }
10. service SayHi { rpc Hi(HelloRequest) returns (HelloResponse); }

复制代码

通过下面的命令生成相关的文件：

1. $ protoc --go_out=./ --go-grpc_out=./ example.proto
2. $ tree
3. .
4. ├── example_grpc.pb.go
5. ├── example.pb.go
6. └── example.proto
8. 0 directories, 3 files

复制代码

server端

跟 client 端约定内容如下：

• token有效期为半小时
  
• iss使用gRPC token
  
• sub使用gRPC example server
  

代码如下：

1. package main
3. import (
4.         "chaincode/pb"
5.         "context"
6.         "fmt"
7.         "net"
8.         "time"
10.         "github.com/golang-jwt/jwt/v5"
11.         "github.com/pkg/errors"
12.         "google.golang.org/grpc"
13.         "google.golang.org/grpc/metadata"
14. )
16. var testKey = "testKey"
18. type HiService struct {
19.         pb.UnimplementedSayHiServer
20. }
22. func verifyToken(tokenString string) error {
23.         token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
24.                 return []byte(testKey), nil
25.         })
26.         if err != nil {
27.                 return errors.Wrap(err, "init token parser error")
28.         }
29.         if !token.Valid {
30.                 return errors.New("invalid token")
31.         }
32.         claims, ok := token.Claims.(jwt.MapClaims)
33.         if !ok {
34.                 return errors.New("invalid claims")
35.         }
36.         exp, err := claims.GetExpirationTime()
37.         if err != nil {
38.                 return errors.Wrap(err, "GetExpirationTime from token error")
39.         }
41.         now := time.Now()
42.         if now.Sub(exp.Time) > 0 {
43.                 return errors.New("the token expires")
44.         }
45.         if claims["sub"] != "gRPC example server" {
46.                 return errors.New("invalid sub")
47.         }
48.         if claims["iss"] != "gRPC token" {
49.                 return errors.New("invalid iss")
50.         }
51.         return nil
52. }
54. func (s *HiService) Hi(ctx context.Context, req *pb.HelloRequest) (*pb.HelloResponse, error) {
56.         md, ok := metadata.FromIncomingContext(ctx)
57.         if !ok {
58.                 return nil, errors.New("token信息获取失败")
59.         }
60.         token := md.Get("Authorization")[0]
61.         if err := verifyToken(token); err != nil {
62.                 return nil, errors.Wrap(err, "token验证失败")
63.         }
65.         return &pb.HelloResponse{Reply: "hello " + req.Name}, nil
66. }
68. func main() {
69.         // 创建grpc服务示例
70.         sv := grpc.NewServer()
71.         // 注册我们的服务
72.         pb.RegisterSayHiServer(sv, new(HiService))
74.         // 绑定端口，提供服务
75.         lis, err := net.Listen("tcp", ":50001")
76.         if err != nil {
77.                 panic(err)
78.         }
79.         // 启动服务
80.         fmt.Println("liston on: 50001")
81.         sv.Serve(lis)
82. }

复制代码

1. $ go run main.go
2. liston on: 50001

复制代码

client

代码如下：

1. package main
3. import (
4.         "chaincode/pb"
5.         "context"
6.         "fmt"
7.         "time"
9.         "github.com/golang-jwt/jwt/v5"
10.         "google.golang.org/grpc"
11.         "google.golang.org/grpc/credentials/insecure"
12. )
14. var testKey = "testKey"
16. func genToken() (string, error) {
17.         claims := jwt.RegisteredClaims{
18.                 ExpiresAt: jwt.NewNumericDate(time.Now().Add(30 * time.Minute)),
19.                 Issuer:    "gRPC token",
20.                 Subject:   "gRPC example client",
21.         }
22.         token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
23.         return token.SignedString([]byte(testKey))
24. }
26. type TokeAuth struct {
27.         Token string
28. }
30. func (t *TokeAuth) GetRequestMetadata(ctx context.Context, uri ...string) (map[string]string, error) {
31.         return map[string]string{
32.                 "Authorization": t.Token,
33.         }, nil
34. }
36. func (t *TokeAuth) RequireTransportSecurity() bool {
37.         return false
38. }
40. func main() {
41.         token, err := genToken()
42.         if err != nil {
43.                 panic(err)
44.         }
45.         conn, err := grpc.Dial("localhost:50001", grpc.WithTransportCredentials(insecure.NewCredentials()), grpc.WithPerRPCCredentials(&TokeAuth{Token: token}))
46.         if err != nil {
47.                 panic(err)
48.         }
49.         defer conn.Close()
51.         client := pb.NewSayHiClient(conn)
53.         resp, err := client.Hi(context.Background(), &pb.HelloRequest{Name: "Wang"})
54.         if err != nil {
55.                 panic(err)
56.         }
57.         fmt.Println(resp.String())
58. }

复制代码

现在我们先将 client 端生成 token 的sub 设置为 gRPC example client，执行

1. $ go run main.go
2. panic: rpc error: code = Unknown desc = token验证失败: invalid sub
4. goroutine 1 [running]:
5. main.main()
6.         /root/go/src/example/client/main.go:55 +0x2f2
7. exit status 2

复制代码

再将 client 端生成 token 的sub 设置为 gRPC example server，执行

1. $ go run main.go
2. reply:"hello Wang"

复制代码

以上示例是一个简单的代码示例，实际上还需要处理错误、安全性和其他细节。
  

声明：本作品采用署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)进行许可，使用时请注明出处。
Author: mengbin
blog: mengbin
Github: mengbin92
cnblogs: 恋水无意

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！