应复用 github.com/golang-jwt/jwt/v5 并严格校验 exp/nbf、统一 401 响应;Kong Go 插件须通过 PDK 获取上下文、调用 pdk.response.exit 终止流程,禁用 net/http、os.Exit 和 panic。
Go 实现 API 网关鉴权时,别直接手写 JWT 校验中间件
Go 里自己写 jwt.Parse + http.Handler 做网关层鉴权,短期能跑,长期会踩坑:密钥轮换难、token 刷新逻辑缺失、错误响应格式不统一、没做旁路缓存导致 Redis 频繁击穿。
更稳妥的做法是复用成熟鉴权组件,比如 github.com/golang-jwt/jwt/v5 配合结构化校验流程:
- 先用
jwt.ParseWithClaims拆出claims,别用Parse忽略类型检查 - 校验
exp和nbf必须调用VerifyExpiresAt/VerifyNotBefore,不能只读字段 - 从
Authorization: Bearer <token>提取 token 时,要 trim 空格和前缀,否则Parse报square/go-jose: error in cryptographic primitive - 校验失败统一返回
401 Unauthorized,且 body 里带"error": "invalid_token"—— Kong 插件后续依赖这个格式做透传
Kong 插件开发中,Go 插件必须走 PDK 的 kong.PDK 而非裸 HTTP
Kong 的 Go 插件不是独立服务,而是被 Lua 主进程通过 go-plugin 协议加载的协程。所有请求上下文(header、route、service)都得走 kong.PDK 获取,不能自己解析 http.Request。
常见错误是直接监听端口或启动 goroutine 处理请求 —— 这会导致 Kong 控制流断裂、超时失效、日志丢失。
立即学习“go语言免费学习笔记(深入)”;
- 获取 header 必须用
pdk.request.get_header("Authorization"),不是r.Header.Get() - 设置响应头用
pdk.response.set_header("X-Auth-By", "go-jwt"),不是w.Header().Set() - 插件初始化函数签名必须是
func New() interface{},返回实现kong.PluginInterface的 struct - 编译命令要用
CGO_ENABLED=0 go build -buildmode=plugin -o auth.so ./plugin.go,否则 Kong 启动时报plugin not found or invalid
Go 插件和 Kong 的通信本质是 Unix Socket + Protobuf,别碰 raw socket
Kong 启动后会为每个 Go 插件 fork 一个子进程,并通过 Unix domain socket(路径如 /tmp/kong-go-auth-xxx.sock)传输 Protobuf 编码的 Request / Response 结构体。你写的 Go 代码只是协议处理端,不是网络服务端。
这意味着你无法在插件里做长连接、WebSocket 或自定义 TCP 协议 —— 所有 IO 都被 PDK 封装好了。
- 不要 import
net、net/http,它们在插件上下文中不可用 - 调试时可临时加
pdk.log.err("debug: ", token),日志会进 Kong 的error.log,别用fmt.Println - 如果插件 panic,Kong 不会崩溃,但该请求会 fallback 到默认响应(通常是 500),且无堆栈 —— 开发期务必开
kong -c kong.conf --vv - Protobuf schema 在
kong-pdk-go仓库的proto/下,字段变更会影响插件 ABI 兼容性,升级 Kong 前先 check plugin SDK 版本
鉴权失败时,Go 插件必须显式调用 pdk.response.exit 终止流程
这是最容易漏掉的一环。很多人以为 return 就结束,其实 Kong 的 Lua 层还在等你的 Response。不调 pdk.response.exit(401, ...),请求会卡住直到超时,然后报 upstream timeout,而不是预期的 401。
- 成功鉴权后,通常要调
pdk.service.set_upstream(...)或pdk.router.set_route(...),但不是必须 - 失败时必须用
pdk.response.exit(401, map[string]interface{}{"message": "invalid signature"}),第二个参数会 JSON 序列化进 response body - 别用
os.Exit或panic终止插件进程 —— 这会让 Kong 主进程收到 SIGCHLD,触发重载逻辑,可能中断其他请求 - 如果需要异步校验(比如查 DB),必须用
pdk.ctx.set_ctx_data存临时状态,再在下一个阶段读取,Go 插件本身不支持 await
真正麻烦的是密钥分发和 token 解析性能:RSA 公钥验签比 HMAC 慢 10 倍以上,而 Kong 默认每请求都重新解析 PEM。上线前记得把公钥预解析成 *rsa.PublicKey 存全局变量,别每次 call 都 jwt.ParseRSAPublicKeyFromPEM。
