如何在Golang中使用gRPC进行安全认证-Golang-PHP中文网

如何在Golang中使用gRPC进行安全认证

P粉602998670

发布： 2025-10-30 11:34:01

原创

748人浏览过

Golang中gRPC安全认证通过TLS加密和认证机制实现，需配置双向证书认证并启用客户端与服务端证书校验，结合Per-RPC Credentials传递Token，使用拦截器在服务端验证authorization头，确保通信安全。

如何在golang中使用grpc进行安全认证

在Golang中使用gRPC进行安全认证，核心方式是通过TLS加密通信并结合认证机制（如证书、Token或自定义凭证）来确保服务间的安全访问。下面介绍如何配置基于TLS的双向认证，并添加简单的Token认证逻辑。

启用TLS加密通信

gRPC默认支持使用TLS来加密客户端和服务端之间的通信。你需要准备服务器证书（server.crt）和私钥（server.key），如果需要双向认证，客户端也需要提供证书。

服务端代码示例：

package main

import (
    "net"
    "google.golang.org/grpc"
    "google.golang.org/grpc/credentials"
    pb "your-project/proto" // 替换为你的proto包路径
    "log"
)

type server struct {
    pb.UnimplementedYourServiceServer
}

func (s *server) YourMethod(ctx context.Context, req *pb.YourRequest) (*pb.YourResponse, error) {
    return &pb.YourResponse{Message: "Hello"}, nil
}

func main() {
    cert, err := tls.LoadX509KeyPair("server.crt", "server.key")
    if err != nil {
        log.Fatalf("无法加载证书: %v", err)
    }
    creds := credentials.NewTLS(&tls.Config{
        Certificates: []tls.Certificate{cert},
        ClientAuth:   tls.RequireAndVerifyClientCert, // 启用双向认证
        ClientCAs:    loadCA(),                      // 加载客户端CA证书池
    })

    lis, err := net.Listen("tcp", ":50051")
    if err != nil {
        log.Fatalf("监听失败: %v", err)
    }

    s := grpc.NewServer(grpc.Creds(creds))
    pb.RegisterYourServiceServer(s, &server{})
    log.Println("gRPC服务已启动，地址: :50051")
    if err := s.Serve(lis); err != nil {
        log.Fatalf("启动服务失败: %v", err)
    }
}

登录后复制

客户端连接时也需提供证书：

立即学习“go语言免费学习笔记（深入）”；

creds, err := credentials.NewClientTLSFromFile("server.crt", "your-server-name")
if err != nil {
    log.Fatalf("加载TLS凭证失败: %v", err)
}

conn, err := grpc.Dial("localhost:50051", 
    grpc.WithTransportCredentials(creds),
    grpc.WithPerRPCCredentials(&authInfo{}), // 可选：附加Token认证
)
if err != nil {
    log.Fatalf("连接失败: %v", err)
}
defer conn.Close()

登录后复制

实现Token认证（Per-RPC Credentials）

除了TLS，你可以在每次调用时附加Token信息，实现更细粒度的权限控制。这通过实现 credentials.PerRPCCredentials 接口完成。

如知AI笔记

如知笔记——支持markdown的在线笔记，支持ai智能写作、AI搜索，支持DeepseekR1满血大模型

查看详情

type authInfo struct {
    Token string
}

func (a *authInfo) GetRequestMetadata(ctx context.Context, uri ...string) (map[string]string, error) {
    return map[string]string{
        "authorization": "Bearer " + a.Token,
    }, nil
}

func (a *authInfo) RequireTransportSecurity() bool {
    return true // 强制使用TLS
}

登录后复制

客户端使用：

cred := &authInfo{Token: "your-jwt-or-api-token"}
conn, err := grpc.Dial("localhost:50051",
    grpc.WithTransportCredentials(credentials.NewTLS(&tls.Config{})),
    grpc.WithPerRPCCredentials(cred),
)

登录后复制

服务端提取Token：

func unaryInterceptor(ctx context.Context, req interface{}, info *grpc.UnaryServerInfo, handler grpc.UnaryHandler) (interface{}, error) {
    md, ok := metadata.FromIncomingContext(ctx)
    if !ok {
        return nil, status.Errorf(codes.Unauthenticated, "无元数据")
    }

    values := md["authorization"]
    if len(values) == 0 {
        return nil, status.Errorf(codes.Unauthenticated, "缺少授权头")
    }

    token := strings.TrimPrefix(values[0], "Bearer ")
    if !isValidToken(token) { // 自定义验证逻辑
        return nil, status.Errorf(codes.Unauthenticated, "无效Token")
    }

    return handler(ctx, req)
}

登录后复制

注册拦截器：

s := grpc.NewServer(
    grpc.Creds(creds),
    grpc.UnaryInterceptor(unaryInterceptor),
)

登录后复制

总结关键点

TLS是gRPC安全的基础，生产环境必须开启
双向证书认证可防止非法客户端接入
Per-RPC Credentials适合传递Token、API Key等动态凭证
结合拦截器可在服务端统一做认证校验
所有敏感信息（如密钥、Token）应通过安全方式管理（如Vault、环境变量）

基本上就这些。只要配置好证书链并合理使用gRPC提供的认证接口，就能构建出安全可靠的微服务通信体系。

以上就是如何在Golang中使用gRPC进行安全认证的详细内容，更多请关注php中文网其它相关文章！

大家都在看：

Go语言实现文件系统树结构教程 Go并发编程：理解GOMAXPROCS与数据竞争，以及安全的Map操作 Go语言方法接收器：值与指针的深度解析及切片初始化陷阱 Go并发编程：利用WaitGroup实现Goroutine的优雅同步 Go语言：高效实现切片到固定长度数组的转换