在gRPC微服务中实现安全通信需结合TLS加密、Per-RPC认证、mTLS和JWT。首先通过TLS保证传输安全,使用自签名证书配置服务端和客户端;其次实现Per-RPC Credentials接口进行Token认证,确保每次调用身份可信;在高安全场景下启用mTLS,双向验证证书;最后可集成JWT携带声明信息,提升认证灵活性。关键在于始终启用TLS、严格验证身份并定期轮换密钥证书。
在微服务架构中,服务间通信的安全性至关重要。gRPC 作为高性能的远程过程调用框架,默认基于 HTTP/2 传输,支持双向流、头部压缩等特性,非常适合服务间通信。但在实际生产环境中,必须确保调用方是可信的,这就需要实现服务间的认证机制。Golang 中使用 gRPC 实现服务间认证,主要依赖 TLS 和自定义认证器(Per-RPC Credentials)。
启用 TLS 加密通信
TLS 是实现安全通信的基础,它不仅能加密数据传输,还能通过证书验证服务身份。在 gRPC 中启用 TLS 需要准备服务器证书和私钥。
生成自签名证书示例:
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes -subj "/CN=localhost"
服务端配置 TLS:
立即学习“go语言免费学习笔记(深入)”;
creds, err := credentials.NewServerTLSFromFile("cert.pem", "key.pem")
if err != nil {
log.Fatalf("无法加载 TLS 证书: %v", err)
}
server := grpc.NewServer(grpc.Creds(creds))
pb.RegisterYourServiceServer(server, &server{})
客户端连接时也需要提供信任的根证书:
creds, err := credentials.NewClientTLSFromFile("cert.pem", "localhost")
if err != nil {
log.Fatalf("无法加载客户端 TLS: %v", err)
}
conn, err := grpc.Dial("localhost:50051", grpc.WithTransportCredentials(creds))
实现 Per-RPC 认证(Token 认证)
除了传输层加密,还需在每次调用时验证调用者身份。gRPC 支持通过实现 credentials.PerRPCCredentials 接口来附加认证信息。
定义一个简单的 Token 认证结构:
type authentication struct {
token string
}
func (a *authentication) GetRequestMetadata(ctx context.Context, uri ...string) (map[string]string, error) {
return map[string]string{
"authorization": "Bearer " + a.token,
}, nil
}
func (a *authentication) RequireTransportSecurity() bool {
return true // 要求使用 TLS
}
客户端使用该认证器:
auth := &authentication{token: "your-secret-token"}
conn, err := grpc.Dial(
"localhost:50051",
grpc.WithTransportCredentials(creds),
grpc.WithPerRPCCredentials(auth),
)
服务端从上下文中提取 token 并验证:
func unaryInterceptor(ctx context.Context, req interface{}, info *grpc.UnaryServerInfo, handler grpc.UnaryHandler) (interface{}, error) {
md, ok := metadata.FromIncomingContext(ctx)
if !ok {
return nil, status.Errorf(codes.Unauthenticated, "无元数据")
}
authHeaders := md["authorization"]
if len(authHeaders) == 0 {
return nil, status.Errorf(codes.Unauthenticated, "缺少授权头")
}
token := strings.TrimPrefix(authHeaders[0], "Bearer ")
if token != "your-secret-token" {
return nil, status.Errorf(codes.Unauthenticated, "无效 token")
}
return handler(ctx, req)
}
// 注册拦截器
server := grpc.NewServer(
grpc.Creds(creds),
grpc.UnaryInterceptor(unaryInterceptor),
)
双向证书认证(mTLS)增强安全性
在高安全要求场景下,应启用 mTLS(双向 TLS),即客户端也需提供证书,服务端验证其合法性。
生成客户端证书:
openssl req -newkey rsa:4096 -keyout client.key -out client.csr -nodes -subj "/CN=client" openssl x509 -req -in client.csr -CA cert.pem -CAkey key.pem -CAcreateserial -out client.pem -days 365
服务端启用客户端证书验证:
cert, err := tls.LoadX509KeyPair("cert.pem", "key.pem")
if err != nil {
log.Fatal(err)
}
caCert, err := ioutil.ReadFile("client.pem") // 客户端证书作为 CA
if err != nil {
log.Fatal(err)
}
caPool := x509.NewCertPool()
caPool.AppendCertsFromPEM(caCert)
tlsConfig := &tls.Config{
Certificates: []tls.Certificate{cert},
ClientCAs: caPool,
ClientAuth: tls.RequireAndVerifyClientCert, // 要求并验证客户端证书
}
creds := credentials.NewTLS(tlsConfig)
server := grpc.NewServer(grpc.Creds(creds))
客户端连接时提供自己的证书:
cert, err := tls.LoadX509KeyPair("client.pem", "client.key")
if err != nil {
log.Fatal(err)
}
caCert, err := ioutil.ReadFile("cert.pem")
if err != nil {
log.Fatal(err)
}
caPool := x509.NewCertPool()
caPool.AppendCertsFromPEM(caCert)
tlsConfig := &tls.Config{
Certificates: []tls.Certificate{cert},
RootCAs: caPool,
}
creds := credentials.NewTLS(tlsConfig)
conn, err := grpc.Dial("localhost:50051", grpc.WithTransportCredentials(creds))
结合 JWT 实现更灵活的认证
对于多服务协作场景,可使用 JWT 替代静态 token,携带更多声明信息(如服务名、权限、有效期等)。
客户端生成 JWT:
token := jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.MapClaims{
"service": "service-a",
"exp": time.Now().Add(time.Hour).Unix(),
})
signedToken, _ := token.SignedString([]byte("secret-key"))
auth := &authentication{token: signedToken}
服务端解析并验证 JWT:
parsedToken, err := jwt.Parse(token, func(t *jwt.Token) (interface{}, error) {
return []byte("secret-key"), nil
})
if err != nil || !parsedToken.Valid {
return nil, status.Errorf(codes.Unauthenticated, "无效或过期的 JWT")
}
基本上就这些。通过 TLS 加密、Per-RPC 认证、mTLS 和 JWT 的组合,可以在 Golang 的 gRPC 服务间构建起一套完整且安全的认证体系。关键点在于:不依赖网络隔离,始终启用 TLS,严格验证调用方身份,定期轮换密钥和证书。这样即使在不可信网络中,也能保障服务间通信的安全。
