使用JWT实现Golang微服务间认证与授权,通过HTTP中间件验证令牌并控制权限。1. 发送方生成含iss、aud声明的JWT;2. 接收方中间件校验签名、过期时间及请求头格式;3. 校验aud、iss匹配目标服务;4. 可扩展基于角色或服务名的授权逻辑;5. 结合HTTPS、密钥管理与日志审计提升安全性。
在微服务架构中,服务间认证与授权是保障系统安全的关键环节。Golang 因其高性能和简洁语法,广泛用于构建后端服务。本文通过一个实际示例,展示如何在 Golang 服务之间实现安全的认证与授权机制,使用 JWT(JSON Web Token)进行身份验证,并结合 HTTP 中间件完成权限控制。
使用 JWT 实现服务间认证
服务间通信通常采用 HTTP 或 gRPC。为了确保请求来自可信服务,可以在请求头中携带 JWT 令牌。发送方服务在调用前生成签名 token,接收方验证其合法性。
以下是一个生成 JWT 的示例:
package main
import (
"fmt"
"log"
"time"
"github.com/golang-jwt/jwt/v5"
)
var signingKey = []byte("your-very-secret-key") // 应从环境变量读取
func generateServiceToken(issuer string, audience string) (string, error) {
claims := &jwt.MapClaims{
"iss": issuer, // 发行者
"aud": audience, // 接收者
"exp": time.Now().Add(time.Hour).Unix(),
"iat": time.Now().Unix(),
"sub": "service-auth",
}
token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
return token.SignedString(signingKey)
}
调用方使用 generateServiceToken("auth-service", "user-service") 生成 token,并将其放入请求头:
立即学习“go语言免费学习笔记(深入)”;
req, _ := http.NewRequest("GET", "http://user-service/api/users", nil)
req.Header.Set("Authorization", "Bearer "+token)
中间件验证请求来源
接收方服务应通过中间件拦截请求,验证 JWT 的签名、过期时间及声明信息。
func AuthMiddleware(next http.Handler) http.Handler {
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
authHeader := r.Header.Get("Authorization")
if authHeader == "" {
http.Error(w, "Authorization header missing", http.StatusUnauthorized)
return
}
tokenStr := ""
if len(authHeader) > 7 && authHeader[:7] == "Bearer " {
tokenStr = authHeader[7:]
} else {
http.Error(w, "Invalid token format", http.StatusUnauthorized)
return
}
token, err := jwt.Parse(tokenStr, func(token *jwt.Token) (interface{}, error) {
if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
return nil, fmt.Errorf("unexpected signing method")
}
return signingKey, nil
})
if err != nil || !token.Valid {
http.Error(w, "Invalid or expired token", http.StatusUnauthorized)
return
}
// 可选:检查 issuer 和 audience
if claims, ok := token.Claims.(jwt.MapClaims); ok {
if claims["aud"] != "user-service" {
http.Error(w, "Invalid audience", http.StatusForbidden)
return
}
}
next.ServeHTTP(w, r)
})
}
将此中间件注册到路由中即可保护接口:
http.Handle("/api/users", AuthMiddleware(http.HandlerFunc(getUsers)))
基于角色或服务名的简单授权
除了认证,还需判断调用方是否有权访问特定资源。可在 JWT 中加入自定义声明如 scopes 或 allowed_services。
例如,只允许 billing-service 访问支付接口:
if claims, ok := token.Claims.(jwt.MapClaims); ok {
if service := claims["iss"].(string); service != "billing-service" {
http.Error(w, "Access denied: insufficient privileges", http.StatusForbidden)
return
}
}
也可扩展为更复杂的策略引擎,比如集成 Casbin 进行细粒度权限控制。
安全建议与最佳实践
- 密钥必须通过环境变量或密钥管理服务(如 Hashicorp Vault)注入,禁止硬编码
- 设置合理的 token 过期时间(如 1 小时),降低泄露风险
- 使用 HTTPS 加密传输,防止 token 被窃听
- 记录认证失败日志,便于审计和排查问题
- 对于高敏感接口,可结合双向 TLS(mTLS)增强安全
基本上就这些。这套机制适用于大多数内部服务间调用场景,不复杂但能有效防止未授权访问。随着系统演进,可逐步引入 OAuth2 或 SPIFFE 等标准方案。
