Go标准库net/http可实现HTTP Basic认证:解析Authorization头中Base64编码的用户名密码,解码后校验;需封装中间件、强制HTTPS、避免日志泄露凭证。
使用 Go 的 net/http 包实现 HTTP Basic 认证,核心是解析请求头中的 Authorization: Basic <base64-credentials>,然后解码并校验用户名密码。不需要第三方库,标准库完全支持。
解析 Authorization Header 获取凭证
Basic 认证的凭证以 Base64 编码形式放在 Authorization 请求头中,格式为 Basic base64(username:password)。需手动提取并解码:
- 先检查 Header 是否存在且以
"Basic "开头(注意空格) - 截取 Base64 字符串部分,调用
base64.StdEncoding.DecodeString() - 解码后按冒号
:分割,得到 username 和 password(只分一次,避免密码含冒号时出错)
封装一个可复用的 Basic Auth 中间件
把校验逻辑抽成中间件函数,便于保护多个 handler:
- 接受一个验证函数
func(user, pass string) bool,返回是否合法 - 若认证失败,返回
401 Unauthorized并带上WWW-Authenticate: Basic realm="..."头 - 若成功,把用户信息存入
context.Context或通过闭包传给下层 handler
完整示例:带内存校验的 Basic 认证服务
以下是一个最小可用示例,启动一个监听 :8080 的服务,仅允许 admin:123456 访问 /secret:
立即学习“go语言免费学习笔记(深入)”;
(实际项目中请勿硬编码密码,应从配置或数据库加载)- 使用
strings.HasPrefix()判断 header 前缀 - 用
strings.SplitN(auth, ":", 2)安全分割账号密码 - 敏感操作前调用
checkAuth(r),失败直接 return
安全与注意事项
Basic 认证本身不加密,必须配合 HTTPS 使用,否则明文传输 Base64(本质是可逆编码)等同于明文密码。
- 不要在日志中打印原始
Authorization头或解码后的密码 - 建议搭配速率限制,防止暴力破解
- 如需更安全方案,可升级为 Bearer Token、JWT 或 OAuth2
基本上就这些。Golang 实现简洁直接,重点是正确解析 Header 和守住传输层安全。
