使用JWT实现服务间鉴权,通过中间件统一校验Token合法性;2. 内部服务可选API Key或mTLS增强安全;3. 大型系统集成OAuth2认证中心集中管理权限。
在Golang中处理微服务请求鉴权,核心是确保每个服务间调用都经过身份验证和权限校验。常用方式包括JWT、OAuth2、API密钥和基于中间件的统一鉴权机制。下面介绍几种实用方案。
使用JWT进行服务间鉴权
JWT(JSON Web Token)是一种轻量级的认证方式,适合分布式系统。服务A调用服务B时,在HTTP头中携带JWT,服务B负责解析并验证令牌合法性。
实现步骤:
- 用户登录后,认证服务生成带有用户信息和过期时间的JWT
- 客户端或上游服务在请求头中添加Authorization: Bearer
- 被调用的服务使用共享密钥或公钥验证签名
- 解析payload获取身份信息,进行权限判断
Go中可使用github.com/golang-jwt/jwt/v5库来生成和解析Token。
立即学习“go语言免费学习笔记(深入)”;
通过中间件统一处理鉴权
在Gin、Echo等Web框架中,可以编写中间件拦截所有请求,集中处理鉴权逻辑。
示例(Gin框架):
func AuthMiddleware() gin.HandlerFunc {
return func(c *gin.Context) {
tokenString := c.GetHeader("Authorization")
if tokenString == "" {
c.JSON(401, gin.H{"error": "未提供认证令牌"})
c.Abort()
return
}
// 去除Bearer前缀
tokenString = strings.TrimPrefix(tokenString, "Bearer ")
token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
return []byte("your-secret-key"), nil
})
if err != nil || !token.Valid {
c.JSON(401, gin.H{"error": "无效或过期的令牌"})
c.Abort()
return
}
c.Next()
}
}
将此中间件注册到需要保护的路由组即可。
服务间通信使用API Key或mTLS
对于内部微服务之间的调用,可采用更简洁的方式:
- API Key: 每个服务分配唯一的Key,调用时通过Header传递,接收方校验Key有效性
- mTLS(双向TLS): 所有服务启用HTTPS,并验证对方证书,实现强身份认证
mTLS安全性更高,适合高敏感系统,但配置复杂;API Key实现简单,适合中小型架构。
集成OAuth2或身份中心服务
大型系统通常会部署独立的认证中心(如使用Keycloak、Auth0或自研),所有服务将鉴权请求转发给该中心。
流程如下:
- 服务收到请求后提取Token
- 向认证中心发起/introspect请求验证Token状态
- 根据返回的用户角色决定是否放行
这种方式便于集中管理用户、权限和审计日志。
基本上就这些。选择哪种方式取决于系统规模和安全要求。小项目可用JWT+中间件,大系统建议结合OAuth2或mTLS。关键是把鉴权逻辑抽象出来,避免重复编码。
