gRPC教程 — TLS单向认证、双向认证、Token认证、拦截器
gRPC教程 — 使用TLS时相关问体积解决办法
- 本文代码
- 问题重现
- 解决办法
- 一、生成CA根证书
- 1.1 在证书存放文件夹下 新建 `ca.conf`,写入内容如下:
- 1.2 生成ca秘钥,得到ca.key
- 1.3 生成ca证书签发请求,得到ca.csr
- 1.4 生成ca根证书,得到ca.crt
- 二、 生成服务端证书
- 2.1 在证书存放文件夹下,新建`server.conf`,写入内容如下:
- 2.2 生成秘钥,得到server.key
- 2.3 生成证书签发请求,得到server.csr
- 2.4 用CA证书生成服务端证书,得到server.pem
- ca.conf和server.conf对比
- 三、证书的使用(单向认证)
- 3.1 服务端
- 3.2 客户端
- 四、双向认证
- 注意事项
- 4.1 修改根证书生成命令
- 4.1.1 生成ca秘钥,得到ca.key【命令与1.2完全一致】
- 4.1.2 生成ca证书签发请求,得到ca.csr【命令与1.3完全一致】
- 4.1.3 生成ca根证书,得到`ca.pem`的命令:
- 4.2 修改服务端证书生成命令
- 4.2.1 生成秘钥,得到server.key【命令与2.2完全一致】
- 4.2.2 生成证书签发请求,得到server.csr【命令与2.3完全一致】
- 4.2.3 用CA证书生成服务端证书,得到server.pem
- 4.3 在证书存放文件夹下,新建client.conf,写入内容如下:
- 4.4 生成秘钥,得到client.key
- 4.5 生成证书签发请求,得到client.csr
- 4.6 用CA证书生成客户端证书,得到client.pem
- 4.7 服务端代码
- 4.8 客户端代码
- 五、Token认证
- 5.1 服务端代码
- 5.2 客户端
- 5.2.1 客户端需要实现 `PerRPCCredentials` 接口
- 5.3 客户端
- 六、拦截器
本文代码
码云:https://gitee.com/XiMuQi/go-grpc
问题重现
golang 1.15+
版本上,用 gRPC通过TLS实现数据传输加密时,会报错证书的问题:
rpc error: code = Unavailable desc = connection error: desc = "transport: authentication handshake failed: x509: certificate is not valid for any names, but wanted to match www.ximu.info"
是因为用的TLS证书,并没有开启SAN扩展(默认是没有开启SAN扩展)所生成的,导致客户端和服务端无法建立连接。
什么是 SAN?
SAN(Subject Alternative Name)是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。
解决办法
一、生成CA根证书
后面需要使用根证书CA来生成服务端、客户端证书
1.1 在证书存放文件夹下 新建 ca.conf
,写入内容如下:
#req 总的配置
[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name #使用 req_distinguished_name配置模块[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = BeiJing
localityName = Locality Name (eg, city)
localityName_default = BeiJing
organizationName = Organization Name (eg, company)
organizationName_default = XiMu
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = ximu
1.2 生成ca秘钥,得到ca.key
openssl genrsa -out ca.key 4096
1.3 生成ca证书签发请求,得到ca.csr
openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf
1.4 生成ca根证书,得到ca.crt
openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt
二、 生成服务端证书
2.1 在证书存放文件夹下,新建server.conf
,写入内容如下:
#req 总配置
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name #使用 req_distinguished_name配置模块
req_extensions = req_ext #使用 req_ext配置模块[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = BeiJing
localityName = Locality Name (eg, city)
localityName_default = BeiJing
organizationName = Organization Name (eg, company)
organizationName_default = XiMu
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = ximu #这里的Common Name 写主要域名即可(注意:这个域名也要在alt_names的DNS.x里) 此处尤为重要,需要用该服务名字填写到客户端的代码中[ req_ext ]
subjectAltName = @alt_names #使用 alt_names配置模块[alt_names]
DNS.1 = localhost
DNS.2 = ximu.info
DNS.3 = www.ximu.info
IP = 127.0.0.1
2.2 生成秘钥,得到server.key
openssl genrsa -out server.key 2048
2.3 生成证书签发请求,得到server.csr
openssl req -new -sha256 -out server.csr -key server.key -config server.conf
2.4 用CA证书生成服务端证书,得到server.pem
openssl x509 -req -days 3650 -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.pem -extensions req_ext -extfile server.conf
现在证书已经生成完毕, server.pem 和 server.key就是我们需要的证书和密钥。
key: 服务器上的私钥文件,用于对发送给客户端数据的加密,以及对从客户端接收到数据的解密。
csr: 证书签名请求文件,用于提交给证书颁发机构(CA)对证书签名。
crt: 由证书颁发机构(CA)签名后的证书,或者是开发者自签名的证书,包含证书持有人的信息,持有人的公钥,以及签署者的签名等信息。
pem: 是基于Base64编码的证书格式,扩展名包括PEM、CRT和CER。
ca.conf和server.conf对比
可以发现ca.conf和server.conf的配置大致相同,这是因为ca.conf生成的是根证书,用户证书需要在根证书的基础上创建,所以高度相同,对于两个证书的配置信息不必过于深究,够使用即可。
三、证书的使用(单向认证)
3.1 服务端
package mainimport ("context""google.golang.org/grpc""google.golang.org/grpc/credentials""google.golang.org/grpc/grpclog""grpc01/service""log""net"
)//1、声明一个server,里面是未实现的字段
type server struct {service.UnimplementedQueryUserServer
}//2、必须要实现在hello.proto里声明的远程调用接口,否则客户端会报:
//rpc error: code = Unimplemented desc = method GetUserInfo not implemente
func (s *server) GetUserInfo(ctx context.Context, in *service.ReqParam) (*service.ResParam, error) {return &service.ResParam{Id: in.Id, Name: in.Name, Age: 20, Address: "Beijing"}, nil
}func main() {//配置 TLS认证相关文件creds, err := credentials.NewServerTLSFromFile("keys/server.pem", "keys/server.key")if err != nil {grpclog.Fatalf("Failed to generate credentials %v", err)}//1、创建服务,并开启TLS认证//ser := grpc.NewServer()ser := grpc.NewServer(grpc.Creds(creds))//2、注册服务service.RegisterQueryUserServer(ser, &server{})//3、监听服务端口listener, err := net.Listen("tcp", ":8002")if err != nil {log.Fatal("服务监听端口失败", err)}//4、启动服务_ = ser.Serve(listener)
}
3.2 客户端
package mainimport ("context""fmt""google.golang.org/grpc""google.golang.org/grpc/credentials""google.golang.org/grpc/grpclog""grpc01/service""log"
)func main() {// TLS连接 注意serverNameOverride填写的是在server.conf的[alt_names]里的DNS.X地址creds, err := credentials.NewClientTLSFromFile("keys/server.pem", "localhost")if err != nil {grpclog.Fatalf("Failed to create TLS credentials %v", err)}//1、 建立连接//conn, err := grpc.Dial(":8002", grpc.WithInsecure())conn, err := grpc.Dial(":8002", grpc.WithTransportCredentials(creds))if err != nil {log.Fatalf("did not connect: %v", err)}defer conn.Close()request := &service.ReqParam{Id: 123,Name: "西木",}// 2. 调用 hello_grpc.pb.go 中的NewQueryUserClient方法建立客户端query := service.NewQueryUserClient(conn)//3、调用rpc方法res, err := query.GetUserInfo(context.Background(), request)if err != nil {log.Fatal("调用gRPC方法错误: ", err)}fmt.Println("调用gRPC方法成功,ProdStock = ", res)}
四、双向认证
注意事项
前面我们生成的根证书是ca.crt,在双向认证时,我使用的是ca.pem,所以需要更改一下证书的类型。
只需将1.4的生成ca.crt的命令改为ca.pem即可;
4.1 修改根证书生成命令
4.1.1 生成ca秘钥,得到ca.key【命令与1.2完全一致】
openssl genrsa -out ca.key 4096
4.1.2 生成ca证书签发请求,得到ca.csr【命令与1.3完全一致】
openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf
4.1.3 生成ca根证书,得到ca.pem
的命令:
openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.pem
4.2 修改服务端证书生成命令
4.2.1 生成秘钥,得到server.key【命令与2.2完全一致】
openssl genrsa -out server.key 2048
4.2.2 生成证书签发请求,得到server.csr【命令与2.3完全一致】
openssl req -new -sha256 -out server.csr -key server.key -config server.conf
4.2.3 用CA证书生成服务端证书,得到server.pem
将ca.crt
替换成ca.pem
使用ca.pem的命令:
openssl x509 -req -days 3650 -CA ca.pem -CAkey ca.key -CAcreateserial -in server.csr -out server.pem -extensions req_ext -extfile server.conf
4.3 在证书存放文件夹下,新建client.conf,写入内容如下:
#req 总配置
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name #使用 req_distinguished_name配置模块
req_extensions = req_ext #使用 req_ext配置模块[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = BeiJing
localityName = Locality Name (eg, city)
localityName_default = BeiJing
organizationName = Organization Name (eg, company)
organizationName_default = XiMu
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = ximu #这里的Common Name 写主要域名即可(注意:这个域名也要在alt_names的DNS.x里) 此处尤为重要,需要用该服务名字填写到客户端的代码中[ req_ext ]
subjectAltName = @alt_names #使用 alt_names配置模块[alt_names]
DNS.1 = localhost
DNS.2 = ximu.info
DNS.3 = www.ximu.info
IP = 127.0.0.1
4.4 生成秘钥,得到client.key
openssl ecparam -genkey -name secp384r1 -out client.key
4.5 生成证书签发请求,得到client.csr
openssl req -new -sha256 -out client.csr -key client.key -config client.conf
4.6 用CA证书生成客户端证书,得到client.pem
使用ca.pem
的命令:
openssl x509 -req -days 3650 -CA ca.pem -CAkey ca.key -CAcreateserial -in client.csr -out client.pem -extensions req_ext -extfile client.conf
4.7 服务端代码
将ca.pem
、server.key
和server.pem
到服务端代码中:
package mainimport ("context""crypto/tls""crypto/x509""go-grpc/service""google.golang.org/grpc""google.golang.org/grpc/credentials""io/ioutil""log""net"
)//1、声明一个server,里面是未实现的字段
type server struct {service.UnimplementedQueryUserServer
}//2、必须要实现在hello.proto里声明的远程调用接口,否则客户端会报:
//rpc error: code = Unimplemented desc = method GetUserInfo not implemente
func (s *server) GetUserInfo(ctx context.Context, in *service.ReqParam) (*service.ResParam, error) {return &service.ResParam{Id: in.Id, Name: in.Name, Age: 20, Address: "Beijing"}, nil
}const (// Address gRPC服务地址Address = "127.0.0.1:8003"
)func main() {// TLS认证//从证书相关文件中读取和解析信息,得到证书公钥、密钥对cert, _ := tls.LoadX509KeyPair("keys2/server.pem", "keys2/server.key")//初始化一个CertPoolcertPool := x509.NewCertPool()ca, _ := ioutil.ReadFile("keys2/ca.pem")//注意这里只能解析pem类型的根证书,所以需要的是ca.pem//解析传入的证书,解析成功会将其加到池子中certPool.AppendCertsFromPEM(ca)//构建基于TLS的TransportCredentials选项creds := credentials.NewTLS(&tls.Config{Certificates: []tls.Certificate{cert}, //服务端证书链,可以有多个ClientAuth: tls.RequireAndVerifyClientCert, //要求必须验证客户端证书ClientCAs: certPool, //设置根证书的集合,校验方式使用 ClientAuth 中设定的模式})//1、创建服务,并开启TLS认证//ser := grpc.NewServer()//ser := grpc.NewServer(grpc.Creds(creds), grpc.KeepaliveParams(keepalive.ServerParameters{// MaxConnectionIdle: 5 * time.Minute, //这个连接最大的空闲时间,超过就释放,解决proxy等到网络问题(不通知grpc的client和server)//}))ser := grpc.NewServer(grpc.Creds(creds))//2、注册服务service.RegisterQueryUserServer(ser, &server{})//3、监听服务端口listener, err := net.Listen("tcp", Address)if err != nil {log.Fatal("服务监听端口失败", err)}//4、启动服务_ = ser.Serve(listener)
}
4.8 客户端代码
将ca.pem
、client.key
和client.pem
到客户端代码中:
package mainimport ("context""crypto/tls""crypto/x509""fmt""go-grpc/service""google.golang.org/grpc""google.golang.org/grpc/credentials""io/ioutil""log"
)const (// Address gRPC服务地址Address = "127.0.0.1:8003"
)func main() {// 证书认证-双向认证// 从证书相关文件中读取和解析信息,得到证书公钥、密钥对cert, _ := tls.LoadX509KeyPair("keys2/client.pem", "keys2/client.key")// 创建一个新的、空的 CertPoolcertPool := x509.NewCertPool()ca, _ := ioutil.ReadFile("keys2/ca.pem")//注意这里只能解析pem类型的根证书,所以需要的是ca.pem// 尝试解析所传入的 PEM 编码的证书。如果解析成功会将其加到 CertPool 中,便于后面的使用certPool.AppendCertsFromPEM(ca)// 构建基于 TLS 的 TransportCredentials 选项creds := credentials.NewTLS(&tls.Config{// 设置证书链,允许包含一个或多个Certificates: []tls.Certificate{cert},ServerName: "ximu.info", //注意这里的参数为配置文件中所允许的ServerName,也就是其中配置的DNS...RootCAs: certPool,})//1、 建立连接conn, err := grpc.Dial(Address, grpc.WithTransportCredentials(creds))if err != nil {log.Fatalf("did not connect: %v", err)}defer conn.Close()request := &service.ReqParam{Id: 123,Name: "西木",}// 2. 调用 hello_grpc.pb.go 中的NewQueryUserClient方法建立客户端query := service.NewQueryUserClient(conn)//3、调用rpc方法res, err := query.GetUserInfo(context.Background(), request)if err != nil {log.Fatal("调用gRPC方法错误: ", err)}fmt.Println("双向认证:调用gRPC方法成功,ProdStock = ", res)}
五、Token认证
5.1 服务端代码
package mainimport ("context""fmt""go-grpc/service""google.golang.org/grpc""google.golang.org/grpc/codes""google.golang.org/grpc/metadata""google.golang.org/grpc/status""log""net"
)//1、声明一个server,里面是未实现的字段
type server struct {service.UnimplementedQueryUserServer
}//2、必须要实现在hello.proto里声明的远程调用接口,否则客户端会报:
//rpc error: code = Unimplemented desc = method GetUserInfo not implemente
func (s *server) GetUserInfo(ctx context.Context, in *service.ReqParam) (*service.ResParam, error) {return &service.ResParam{Id: in.Id, Name: in.Name, Age: 20, Address: "Beijing"}, nil
}const (// Address gRPC服务地址Address = "127.0.0.1:8003"
)func main() {var authInterceptor grpc.UnaryServerInterceptor//匿名方法authInterceptor = func(ctx context.Context,req interface{},info *grpc.UnaryServerInfo,handler grpc.UnaryHandler,) (resp interface{}, err error) {//拦截普通方法请求,验证 Tokenerr = Auth(ctx)if err != nil {return}// 继续处理请求return handler(ctx, req)}ser := grpc.NewServer(grpc.UnaryInterceptor(authInterceptor))//2、注册服务service.RegisterQueryUserServer(ser, &server{})//3、监听服务端口listener, err := net.Listen("tcp", Address)if err != nil {log.Fatal("服务监听端口失败", err)}//4、启动服务_ = ser.Serve(listener)
}func Auth(ctx context.Context) error {md, ok := metadata.FromIncomingContext(ctx)if !ok {return fmt.Errorf("missing credentials")}var user stringvar password stringif val, ok := md["user"]; ok {user = val[0]}if val, ok := md["password"]; ok {password = val[0]}if user != "admin" || password != "admin" {return status.Errorf(codes.Unauthenticated, "客户端请求的token不合法")}return nil
}
5.2 客户端
5.2.1 客户端需要实现 PerRPCCredentials
接口
package serviceimport "context"type PerRPCCredentials interface {//GetRequestMetadata 方法返回认证需要的必要信息GetRequestMetadata(ctx context.Context, uri ...string) (map[string]string, error)//RequireTransportSecurity 方法表示是否启用安全链接,在生产环境中,一般都是启用的,但为了测试方便,暂时这里不启用RequireTransportSecurity() bool
}
具体实现:
package implimport "context"type Authentication struct {User stringPassword string
}func (a *Authentication) GetRequestMetadata(context.Context, ...string) (map[string]string, error) {return map[string]string{"user": a.User, "password": a.Password}, nil
}func (a *Authentication) RequireTransportSecurity() bool {return false
}
5.3 客户端
package mainimport ("context""fmt""go-grpc/service""go-grpc/token/service/impl""google.golang.org/grpc""google.golang.org/grpc/credentials/insecure""log"
)const (// Address gRPC服务地址Address = "127.0.0.1:8003"
)func main() {user := &impl.Authentication{User: "admin",Password: "admin2",}//1、 建立连接conn, err := grpc.Dial(Address, grpc.WithTransportCredentials(insecure.NewCredentials()), grpc.WithPerRPCCredentials(user))if err != nil {log.Fatalf("did not connect: %v", err)}defer conn.Close()request := &service.ReqParam{Id: 123,Name: "西木",}// 2. 调用 hello_grpc.pb.go 中的NewQueryUserClient方法建立客户端query := service.NewQueryUserClient(conn)//3、调用rpc方法res, err := query.GetUserInfo(context.Background(), request)if err != nil {log.Fatal("调用gRPC方法错误: ", err)}fmt.Println("Token:调用gRPC方法成功,ProdStock = ", res)}
六、拦截器
参考:拦截器
gRPC教程 — TLS单向认证、双向认证、Token认证、拦截器相关推荐
- shiro将session认证改成token认证_初步学习Shiro框架 第一集
1.什么是Shiro Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authent ...
- shiro将session认证改成token认证_Shiro 运行过程
什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证.用户授权. shiro架构 subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体 ...
- WCF简单教程(6) 单向与双向通讯
第六篇:单向与双向通讯 项目开发中我们时常会遇到需要异步调用的问题,有时忽略服务端的返回值,有时希望服务端在需要的时候回调,今天就来看看在WCF中如何实现. 先看不需要服务端返回值的单向调用,老规矩, ...
- springboot + vue 后台token生成 拦截器 redis实现 前台封装axios xueX 接口实现
后台 后台程序图片 新建token的基础类 public class Constants {public final static String TOKEN = "token";} ...
- gRPC教程 — grpc-gateway
gRPC教程 - grpc-gateway 前言 代码 一.Grpc网关介绍 1.1 原因 1.2 补充 1.3 流程 1.4 流程图 二.环境配置 2.1 需要的依赖 2.1.1 proto转go ...
- 微服务常见安全认证方案Session token cookie跨域
HTTP 基本认证 HTTP Basic Authentication(HTTP 基本认证)是 HTTP 1.0 提出的一种认证机制,这个想必大家都很熟悉了,我不再赘述.HTTP 基本认证的过程如下: ...
- 路由守卫 AJAX,vue路由导航守卫 和 请求拦截以及基于node的token认证
#####什么时候需要登录验证与权限控制 1.业务系统通常需要登录才能访问受限资源,在用户未登录情况下访问受限资源需要重定向到登录页面: 2.多个业务系统之间要实现单点登录,即在一个系统或应用已登录的 ...
- 常用的认证机制之session认证和token认证
一.session认证 1.session认证的过程: 前端输入用户名和密码进行登录操作,后端拿到用户名和密码后,会把md5进行加密,加密之后,拿上加密后的密文到用户表中查找密文是否一致,判断用户是否 ...
- 认证学习4 - Bearer认证(Token认证)讲解、代码实现、演示
文章目录 Bearer认证(JWT-Token)- 用户信息存客户端中 讲解(Bearer认证) 实现(Bearer认证) 代码(Bearer认证) 演示(Bearer认证) 浏览器 postman ...
最新文章
- Android webView 支持缩放及自适应屏幕
- Python PIL ImageDraw 和ImageFont模块学习
- 国内“重量级”单体数据中心开始运营 火了这个县
- 技术人的生命之源在于绝不固步自封而不断进取的精神
- vscode 新建cpp文件_利用vscode搭建c
- 【计算机网络】关键词汇翻译整合
- matlab中-psi_建议收藏 | 生物信息学中的可变剪切,这些内容你了解吗?
- checkbox 多选 mysql 搜索_mySQL技术的方方面面,不管是应用还是面试,看这一文就够了...
- 书评 – 程序员经典读物(2)
- oracle 上搭建ogg文档,ogg搭建配置实现oracle数据同步到mysql)
- 【周博磊】强化学习纲要 一至六讲笔记
- DRM:Digital Rights Management数字版权加密保护技术
- 「学点C语言系列」02 判断年份是否为闰年
- 6 数据库设计:实体-联系方法
- BottomSheetDialog禁止下滑关闭
- 【centos】geoserver支持ecw
- ORM一键还原系统官方版
- 大印文化:学习说服力一定要理解换框!
- iOS 设置字体 自定义字体
- 用Python写一个图片标注工具