grpc加TLS加密和令牌认证
(金庆的专栏 2018.11)
用 golang 创建 grpc 服务,开启 TLS 加密,并采用令牌认证。
然后用 C++ 和 golang 分别创建客户端连接服务器。
服务器
import (
...
grpc_auth "github.com/grpc-ecosystem/go-grpc-middleware/auth"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
)
func main() {
listen, err := net.Listen("tcp", ":12345")
if err != nil {
grpclog.Fatalf("failed to listen: %v", err)
}
// TLS认证
creds, err := credentials.NewServerTLSFromFile("keys/server.crt", "keys/server.key")
if err != nil {
grpclog.Fatalf("Failed to generate credentials %v", err)
}
// 实例化grpc Server, 并开启TLS认证
s := grpc.NewServer(grpc.Creds(creds),
grpc.UnaryInterceptor(grpc_auth.UnaryServerInterceptor(auth.Authenticate)),
grpc.StreamInterceptor(grpc_auth.StreamServerInterceptor(auth.Authenticate)))
// 注册HelloService
pb.RegisterHelloServer(s, HelloService)
grpclog.Println("Listen on " + Address + " with TLS")
s.Serve(listen)
}其中 server.key 是私钥,server.crt 是自签名证书,如下生成:
$ openssl genrsa -out server.key 2048
$ openssl req -new -x509 -sha256 -key server.key \
-out server.crt -days 36500 \
-subj /C=CN/ST=Shanghai/L=Songjiang/O=ztgame/OU=tech/CN=mydomain.ztgame.com/emailAddress=myname@ztgame.com查看证书文件
$ openssl x509 -in server.crt -noout -textauth.Authenticate 如下,作为 interceptor, 对每个请求进行令牌验证。
package auth
import (
"context"
"sync"
"google.golang.org/grpc/codes"
"google.golang.org/grpc/metadata"
"google.golang.org/grpc/status"
)
// from token.yaml file
var tokenToAppName = &sync.Map{}
func init() {
tokenToAppName.Store("test", "test")
}
// XXX load tokenToAppName from file
// Authenticate checks that a token exists and is valid.
// It removes the token from the context and
// stores the app name of the token in the returned context
func Authenticate(ctx context.Context) (context.Context, error) {
token, err := extractHeader(ctx, "authorization-token")
if err != nil {
return ctx, err
}
// Remove token from headers from here on
ctx = purgeHeader(ctx, "authorization-token")
valAppName, ok := tokenToAppName.Load(token)
if !ok {
return ctx, status.Errorf(codes.Unauthenticated, "no app for token '%s'", token)
}
appName := valAppName.(string)
return context.WithValue(ctx, keyAppName{}, appName), nil
}
func extractHeader(ctx context.Context, header string) (string, error) {
md, ok := metadata.FromIncomingContext(ctx)
if !ok {
return "", status.Error(codes.Unauthenticated, "no headers in request")
}
authHeaders, ok := md[header]
if !ok {
return "", status.Error(codes.Unauthenticated, "no header in request")
}
if len(authHeaders) != 1 {
return "", status.Error(codes.Unauthenticated, "more than 1 header in request")
}
return authHeaders[0], nil
}
func purgeHeader(ctx context.Context, header string) context.Context {
md, _ := metadata.FromIncomingContext(ctx)
mdCopy := md.Copy()
mdCopy[header] = nil
return metadata.NewIncomingContext(ctx, mdCopy)
}
type keyAppName struct{}
// GetAppName can be used to extract app name stored in a context.
func GetAppName(ctx context.Context) string {
// Authenticate()之后必然存在app name
return ctx.Value(keyAppName{}).(string)
}tokenToAppName 是一个map, 将合法的令牌映射为应用名。
每个应用(即用户)分配一个令牌,根据令牌可查到该用户是否合法,以及用户的其他信息。
这里只需要应用名。
每个请求将调用 Authenticate(), 该方法将从 http 头获取请求的令牌,查找对应的应用名,
ctx 中将删除令牌,替换成应用名。
GetAppName()将从 ctx 中获取应用名。
服务方法实现如下:
func (s MailServer) Get(ctx context.Context, r *pb.GetRequest) (*pb.GetResponse, error) {
app := auth.GetAppName(ctx)
body, err := db.NewGetter(app).GetMailBody(r.MailIndex)
return &pb.GetResponse{
Result: getResult(err),
Body: body,
}, nil
}先获取应用名,然后根据应用名获取相应的数据返回。
客户端
golang
// Create the client TLS credentials
creds, err := credentials.NewClientTLSFromFile("key/server.crt", "mydomain.ztgame.com")
if err != nil {
panic(fmt.Errorf("could not load tls cert: %s", err))
}
// We don't need to error here, as this creates a pool and connections
// will happen later
conn, _ := grpc.Dial(
serviceURL,
grpc.WithTransportCredentials(creds),
grpc.WithPerRPCCredentials(auth.TokenAuth{
Token: "test",
}))
cli := pb.NewMailClient(conn)客户端只需要 server.crt, 其中包含服务器的公钥。
NewClientTLSFromFile() 的第2个参数是个域名,是 server.crt 中的域名。
目前测试阶段还没有正式域名设置,所以输入一个指定域名用于验证 server.crt 中的域名。
生产环境运行时,应该不需要这个域名,可以直接查询 DNS 进行验证。
Dial() 输入一个 WithPerRPCCredentials 用于令牌验证。
auth.TokenAuth 需要实现 PerRPCCredentials 接口:
package auth
import (
"context"
)
type TokenAuth struct {
Token string
}
func (t TokenAuth) GetRequestMetadata(ctx context.Context, in ...string) (map[string]string, error) {
return map[string]string{
"authorization-token": t.Token,
}, nil
}
func (TokenAuth) RequireTransportSecurity() bool {
return true
}“authorization-token” 是客户端和服务器约定好的http认证头字符串。
C++
C++ 端的客户端代码比golang的稍复杂,因为 grpc C++ 库没有 grpc-go 成熟。
代码参照 grpc 示例 greeter_async_client2.cc:
int main(int argc, char** argv) {
grpc::SslCredentialsOptions ssl_options;
ssl_options.pem_root_certs = SERVER_CRT;
// Create a default SSL ChannelCredentials object.
auto channel_creds = grpc::SslCredentials(ssl_options);
grpc::ChannelArguments cargs;
cargs.SetSslTargetNameOverride("mydomain.ztgame.com"); // 如果加了 DNS 就不用这个了
auto call_creds = grpc::MetadataCredentialsFromPlugin(
std::unique_ptr<grpc::MetadataCredentialsPlugin>(new TokenAuthenticator(TOKEN)));
auto compsited_creds = grpc::CompositeChannelCredentials(channel_creds, call_creds);
// Create a channel using the credentials created in the previous step.
auto channel = grpc::CreateCustomChannel("1.2.3.4:8000", compsited_creds, cargs);
// Instantiate the client.
MailClient tester(channel);
...
return 0;
}因为 C++ 没有提供从文件读取 server.crt 的接口,所以在此直接用了一个常量字符串:
ssl_options.pem_root_certs = SERVER_CRT;SERVER_CRT 定义如下:
// server.crt 的内容
const char SERVER_CRT[] = R"(
-----BEGIN CERTIFICATE-----
TjERMA8GA1UECAwIU2hhbmdoYWkxEjAQBgNVBAcMCVNvbmdqaWFuZzEPMA0GA1UE
...
E6v50RCQgtWGmna+oy1I2UTVABdjBFnyKPEuz106mBfOhT6cg80hBHVgrV7sLHq8
76QolJm8yzZPL1qpiO4dKHHsCP6R
-----END CERTIFICATE-----
)";TokenAuthenticator 定义如下,是个自定义认证插件:
// TokenAuthenticator 用来支持令牌认证
// https://grpc.io/docs/guides/auth.html
class TokenAuthenticator : public grpc::MetadataCredentialsPlugin {
public:
TokenAuthenticator(const std::string& token) : token_(token) {}
grpc::Status GetMetadata(
grpc::string_ref service_url, grpc::string_ref method_name,
const grpc::AuthContext& channel_auth_context,
std::multimap<grpc::string, grpc::string>* metadata) override {
metadata->insert(std::make_pair("authorization-token", token_));
return grpc::Status::OK;
}
private:
std::string token_;
};
