答案:通过中间件实现JWT认证和角色授权,结合上下文传递用户信息,并利用路由分组分离权限边界,构建安全的REST API权限控制体系。
在Golang中实现REST API权限控制,关键在于请求的认证(Authentication)和授权(Authorization)机制。通过中间件、角色系统和清晰的路由设计,可以有效保护API资源。以下是具体实现方式。
使用中间件进行身份认证
中间件是处理权限控制的核心组件。它在请求到达主处理器前拦截并验证用户身份。常见的做法是解析JWT(JSON Web Token)或检查Session信息。
示例:使用JWT中间件验证用户登录状态
func AuthMiddleware(next http.HandlerFunc) http.HandlerFunc {
return func(w http.ResponseWriter, r *http.Request) {
tokenStr := r.Header.Get("Authorization")
if tokenStr == "" {
http.Error(w, "Missing token", http.StatusUnauthorized)
return
}
// 去除Bearer前缀
tokenStr = strings.TrimPrefix(tokenStr, "Bearer ")
token, err := jwt.Parse(tokenStr, func(token *jwt.Token) (interface{}, error) {
return []byte("your-secret-key"), nil
})
if err != nil || !token.Valid {
http.Error(w, "Invalid token", http.StatusUnauthorized)
return
}
next(w, r)
}
}
将该中间件应用到需要保护的路由:
立即学习“go语言免费学习笔记(深入)”;
-
受保护路由:
http.HandleFunc("/api/admin", AuthMiddleware(adminHandler)) - 公开路由: 不使用中间件,直接注册处理器
基于角色的访问控制(RBAC)
认证之后,需判断用户是否有权执行操作。常见方案是根据用户角色(如admin、user)决定访问级别。
扩展中间件以支持角色检查:
func RoleMiddleware(requiredRole string) func(http.HandlerFunc) http.HandlerFunc {
return func(next http.HandlerFunc) http.HandlerFunc {
return func(w http.ResponseWriter, r *http.Request) {
// 假设token中包含role字段
claims, ok := r.Context().Value("claims").(jwt.MapClaims)
if !ok {
http.Error(w, "Forbidden", http.StatusForbidden)
return
}
userRole := claims["role"].(string)
if userRole != requiredRole {
http.Error(w, "Insufficient permissions", http.StatusForbidden)
return
}
next(w, r)
}
}
}
使用方式:
http.HandleFunc("/api/admin", AuthMiddleware(RoleMiddleware("admin")(adminHandler)))- 可组合多个中间件实现灵活控制
结合上下文传递用户信息
认证成功后,应将用户信息注入请求上下文,供后续处理器使用。
在中间件中设置用户数据:
ctx := context.WithValue(r.Context(), "userID", claims["id"]) r = r.WithContext(ctx)
处理器中读取:
userID := r.Context().Value("userID").(string)
这样既安全又便于业务逻辑使用用户上下文。
路由分组与权限分离
使用第三方路由器(如Gorilla Mux或Echo)可更方便地管理带权限的路由组。
例如使用Gorilla Mux:
r := mux.NewRouter()
public := r.PathPrefix("/api").Subrouter()
private := r.PathPrefix("/api").Subrouter()
private.Use(AuthMiddleware)
public.HandleFunc("/login", loginHandler)
private.HandleFunc("/profile", profileHandler)
这种方式让权限边界清晰,易于维护。
基本上就这些。核心是中间件+JWT+角色判断,再配合上下文和路由设计,就能构建出安全可控的REST API权限体系。不复杂但容易忽略细节,比如密钥管理、token过期处理等也需一并考虑。
