久久精品一区中文字幕,亚洲一级影院,国产精品xxx在线观看www

grpc加TLS加密和令牌認證

(金慶的專欄 2018.11)

用 golang 創建 grpc 服務，開啟 TLS 加密，并采用令牌認證。
然后用 C++ 和 golang 分別創建客戶端連接服務器。

參考：
https://segmentfault.com/a/1190000007933303

服務器

import (
   ...
   grpc_auth "github.com/grpc-ecosystem/go-grpc-middleware/auth"
   "google.golang.org/grpc"
   "google.golang.org/grpc/credentials"
)

func main() {
   listen, err := net.Listen("tcp", ":12345")
   if err != nil {
       grpclog.Fatalf("failed to listen: %v", err)
   }

   // TLS認證
   creds, err := credentials.NewServerTLSFromFile("keys/server.crt", "keys/server.key")
   if err != nil {
       grpclog.Fatalf("Failed to generate credentials %v", err)
   }

   // 實例化grpc Server, 并開啟TLS認證
   s := grpc.NewServer(grpc.Creds(creds),
       grpc_auth.UnaryServerInterceptor(auth.Authenticate),
       grpc_auth.StreamServerInterceptor(auth.Authenticate))

   // 注冊HelloService
   pb.RegisterHelloServer(s, HelloService)
   grpclog.Println("Listen on " + Address + " with TLS")
   s.Serve(listen)
}

其中 server.key 是私鑰，server.crt 是自簽名證書，如下生成：

$ openssl genrsa -out server.key 2048
$ openssl req -new -x509 -sha256 -key server.key \
-out server.crt -days 36500 \
-subj /C=CN/ST=Shanghai/L=Songjiang/O=ztgame/OU=tech/CN=mydomain.ztgame.com/emailAddress=myname@ztgame.com

查看證書文件
$ openssl x509 -in server.crt -noout -text

`auth.Authenticate` 如下，作為 interceptor, 對每個請求進行令牌驗證。

package auth

import (
   "context"
   "sync"

   "google.golang.org/grpc/codes"
   "google.golang.org/grpc/metadata"
   "google.golang.org/grpc/status"
)

// from token.yaml file
var tokenToAppName = &sync.Map{}

func init() {
   tokenToAppName.Store("test", "test")
}

// XXX load tokenToAppName from file

// Authenticate checks that a token exists and is valid.
// It removes the token from the context and
// stores the app name of the token in the returned context
func Authenticate(ctx context.Context) (context.Context, error) {
   token, err := extractHeader(ctx, "authorization-token")
   if err != nil {
       return ctx, err
   }
   // Remove token from headers from here on
   ctx = purgeHeader(ctx, "authorization-token")

   valAppName, ok := tokenToAppName.Load(token)
   if !ok {
       return ctx, status.Errorf(codes.Unauthenticated, "no app for token '%s'", token)
   }
   appName := valAppName.(string)
   return context.WithValue(ctx, keyAppName{}, appName), nil
}

func extractHeader(ctx context.Context, header string) (string, error) {
   md, ok := metadata.FromIncomingContext(ctx)
   if !ok {
       return "", status.Error(codes.Unauthenticated, "no headers in request")
   }

   authHeaders, ok := md[header]
   if !ok {
       return "", status.Error(codes.Unauthenticated, "no header in request")
   }

   if len(authHeaders) != 1 {
       return "", status.Error(codes.Unauthenticated, "more than 1 header in request")
   }

   return authHeaders[0], nil
}

func purgeHeader(ctx context.Context, header string) context.Context {
   md, _ := metadata.FromIncomingContext(ctx)
   mdCopy := md.Copy()
   mdCopy[header] = nil
   return metadata.NewIncomingContext(ctx, mdCopy)
}

type keyAppName struct{}

// GetAppName can be used to extract app name stored in a context.
func GetAppName(ctx context.Context) string {
   // Authenticate()之后必然存在app name
   return ctx.Value(keyAppName{}).(string)
}

`tokenToAppName` 是一個map, 將合法的令牌映射為應用名。
每個應用（即用戶）分配一個令牌，根據令牌可查到該用戶是否合法，以及用戶的其他信息。
這里只需要應用名。

每個請求將調用 `Authenticate()`, 該方法將從 http 頭獲取請求的令牌，查找對應的應用名，
ctx 中將刪除令牌，替換成應用名。

`GetAppName()`將從 ctx 中獲取應用名。

服務方法實現如下：

func (s MailServer) Get(ctx context.Context, r *pb.GetRequest) (*pb.GetResponse, error) {
   app := auth.GetAppName(ctx)
   body, err := db.NewGetter(app).GetMailBody(r.MailIndex)
   return &pb.GetResponse{
       Result: getResult(err),
       Body:   body,
   }, nil
}

先獲取應用名，然后根據應用名獲取相應的數據返回。

客戶端

golang

    // Create the client TLS credentials
   creds, err := credentials.NewClientTLSFromFile("key/server.crt", "mydomain.ztgame.com")
   if err != nil {
       panic(fmt.Errorf("could not load tls cert: %s", err))
   }

   // We don't need to error here, as this creates a pool and connections
   // will happen later
   conn, _ := grpc.Dial(
       serviceURL,
       grpc.WithTransportCredentials(creds),
       grpc.WithPerRPCCredentials(auth.TokenAuth{
           Token: "test",
       }))

   cli := pb.NewMailClient(conn)

客戶端只需要 server.crt, 其中包含服務器的公鑰。
NewClientTLSFromFile() 的第2個參數是個域名，是 server.crt 中的域名。
目前測試階段還沒有正式域名設置，所以輸入一個指定域名用于驗證 server.crt 中的域名。
生產環境運行時，應該不需要這個域名，可以直接查詢 DNS 進行驗證。

Dial() 輸入一個 WithPerRPCCredentials 用于令牌驗證。

auth.TokenAuth 需要實現 PerRPCCredentials 接口：

package auth

import (
   "context"
)

type TokenAuth struct {
   Token string
}

func (t TokenAuth) GetRequestMetadata(ctx context.Context, in ...string) (map[string]string, error) {
   return map[string]string{
       "authorization-token": t.Token,
   }, nil
}

func (TokenAuth) RequireTransportSecurity() bool {
   return true
}

"authorization-token" 是客戶端和服務器約定好的http認證頭字符串。

C++

C++ 端的客戶端代碼比golang的稍復雜，因為 grpc C++ 庫沒有 grpc-go 成熟。

代碼參照 grpc 示例 greeter_async_client2.cc:

int main(int argc, char** argv) {
    grpc::SslCredentialsOptions ssl_options;
    ssl_options.pem_root_certs = SERVER_CRT;
    // Create a default SSL ChannelCredentials object.
    auto channel_creds = grpc::SslCredentials(ssl_options);
    grpc::ChannelArguments cargs;
    cargs.SetSslTargetNameOverride("gamemail.ztgame.com"); // 如果加了 DNS 就不用這個了

    auto call_creds = grpc::MetadataCredentialsFromPlugin(
        std::unique_ptr<grpc::MetadataCredentialsPlugin>(new TokenAuthenticator(TOKEN)));

    auto compsited_creds = grpc::CompositeChannelCredentials(channel_creds, call_creds);

    // Create a channel using the credentials created in the previous step.
    auto channel = grpc::CreateCustomChannel("1.2.3.4:8000", compsited_creds, cargs);

    // Instantiate the client.
    MailClient tester(channel);
    ...

    return 0;
}

因為 C++ 沒有提供從文件讀取 server.crt 的接口，所以在此直接用了一個常量字符串：

    ssl_options.pem_root_certs = SERVER_CRT;

SERVER_CRT 定義如下：

// server.crt 的內容
const char SERVER_CRT[] = R"(
-----BEGIN CERTIFICATE-----
TjERMA8GA1UECAwIU2hhbmdoYWkxEjAQBgNVBAcMCVNvbmdqaWFuZzEPMA0GA1UE
...
E6v50RCQgtWGmna+oy1I2UTVABdjBFnyKPEuz106mBfOhT6cg80hBHVgrV7sLHq8
76QolJm8yzZPL1qpiO4dKHHsCP6R
-----END CERTIFICATE-----
)";

TokenAuthenticator 定義如下，是個自定義認證插件：

// TokenAuthenticator 用來支持令牌認證
// https://grpc.io/docs/guides/auth.html
class TokenAuthenticator : public grpc::MetadataCredentialsPlugin {
public:
TokenAuthenticator(const std::string& token) : token_(token) {}

grpc::Status GetMetadata(
      grpc::string_ref service_url, grpc::string_ref method_name,
      const grpc::AuthContext& channel_auth_context,
      std::multimap<grpc::string, grpc::string>* metadata) override {
    metadata->insert(std::make_pair("authorization-token", token_));
    return grpc::Status::OK;
}

private:
std::string token_;
};

posted on 2018-11-26 10:39 金慶閱讀(2330) 評論(0) 編輯收藏引用

只有注冊用戶登錄后才能發表評論。
【推薦】100%開源！大型工業跨平臺軟件C++源碼提供，建模，組態！



網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

金慶的專欄

公告

留言簿(12)

隨筆分類(502)

隨筆檔案(423)

相冊

搜索

積分與排名

最新評論

閱讀排行榜

評論排行榜

grpc加TLS加密和令牌認證

服務器

客戶端

golang

C++