签名通过HMAC-SHA256结合密钥对请求参数、时间戳、nonce等字段生成token,确保请求完整性与身份认证;2. gRPC中利用metadata传递签名信息,并通过拦截器在服务端验证签名合法性,防止重放攻击;3. net/rpc因无拦截器需手动封装RequestHeader嵌入签名字段并在每个方法前调用验证函数;4. 安全措施包括使用HTTPS、校验时间戳、限制nonce重复、敏感操作二次验证及App Secret外部化管理;5. 建议将验签逻辑统一为公共库或中间件以提升复用性与一致性。
在使用 Golang 实现 RPC 请求签名时,核心目标是确保请求的完整性和身份认证。通常做法是在客户端对请求参数进行签名,服务端验证该签名是否合法。虽然 RPC 框架本身(如 gRPC 或 Go 的 net/rpc)不直接提供签名机制,但你可以通过中间件或自定义封装实现。以下是具体实现思路和步骤。
1. 签名的基本原理
签名的本质是使用某种算法(如 HMAC-SHA256)结合密钥对请求中的关键字段进行加密摘要,生成一个 token 附加在请求中。服务端用相同方式重新计算并比对。
常见参与签名的字段包括:
- 时间戳(防止重放攻击)
- 随机数(nonce)
- 请求参数(按字典序排序后拼接)
- API Key 或 App ID
签名不应对整个二进制 RPC 消息操作,而是作用于可读的元数据或特定字段。
立即学习“go语言免费学习笔记(深入)”;
2. 在 gRPC 中实现签名验证
gRPC 基于 HTTP/2 和 Protocol Buffers,适合使用拦截器(Interceptor)实现签名逻辑。
步骤一:定义 metadata 传递签名信息客户端将签名、时间戳、AppID 等放入 metadata:
md := metadata.New(map[string]string{
"x-timestamp": strconv.FormatInt(time.Now().Unix(), 10),
"x-nonce": generateNonce(),
"x-app-id": "your-app-id",
"x-signature": "", // 待填充
})
步骤二:客户端计算签名
根据请求内容和其他字段生成签名:
func signRequest(params map[string]string, timestamp int64, nonce, appSecret string) string {
// 参数按 key 排序
keys := make([]string, 0, len(params))
for k := range params {
keys = append(keys, k)
}
sort.Strings(keys)
var pairs []string
for _, k := range keys {
pairs = append(pairs, k+"="+params[k])
}
rawStr := strings.Join(pairs, "&") + fmt.Sprintf("×tamp=%d&nonce=%s", timestamp, nonce)
h := hmac.New(sha256.New, []byte(appSecret))
h.Write([]byte(rawStr))
return hex.EncodeToString(h.Sum(nil))
}
将结果填入 metadata 的 x-signature 字段。
步骤三:服务端拦截器验证签名使用 gRPC unary interceptor 验证每个请求:
func AuthInterceptor(ctx context.Context, req interface{}, info *grpc.UnaryServerInfo, handler grpc.UnaryHandler) error {
md, ok := metadata.FromIncomingContext(ctx)
if !ok {
return status.Errorf(codes.Unauthenticated, "missing metadata")
}
timestampStr := md.Get("x-timestamp")
nonce := md.Get("x-nonce")
appID := md.Get("x-app-id")
signature := md.Get("x-signature")
// 校验时间戳防止重放
ts, _ := strconv.ParseInt(timestampStr[0], 10, 64)
if time.Now().Unix()-ts > 300 { // 超过5分钟
return status.Errorf(codes.DeadlineExceeded, "request expired")
}
// 获取对应 appSecret(可通过数据库或缓存)
appSecret := getAppSecret(appID[0])
expectedSig := signRequest(extractParams(req), ts, nonce[0], appSecret)
if !hmac.Equal([]byte(signature[0]), []byte(expectedSig)) {
return status.Errorf(codes.Unauthenticated, "invalid signature")
}
return handler(ctx, req)
}
3. 在标准 net/rpc 中添加签名
Go 自带的 net/rpc 不支持拦截器,需手动封装。
建议方式:所有请求结构体嵌入一个通用 Header:
type RequestHeader struct {
AppID string
Timestamp int64
Nonce string
Signature string
}
type LoginRequest struct {
RequestHeader
Username string
Password string
}
在每个方法开头调用验证函数:
func (s *UserService) Login(req *LoginRequest, resp *LoginResponse) error {
if err := validateSignature(&req.RequestHeader, req); err != nil {
return err
}
// 正常业务逻辑
}
其中 validateSignature 实现与前述一致。
4. 安全注意事项
- 使用 HTTPS 保证传输安全
- 服务端校验时间戳,拒绝过期请求
- 限制同一 nonce 的使用次数(可用 Redis 记录)
- 敏感操作增加二次验证
- App Secret 不硬编码,使用配置中心或环境变量
基本上就这些。关键是统一签名算法、规范字段格式,并在通信两端保持一致。对于高频服务,建议将验签逻辑封装成公共库或中间件,避免重复出错。
