在Golang应用程序中,我使用带有mySQL后端的gorilla / sessions将数据存储在会话中,但我想将数据存储在chi路由器上下文中。如何将auth令牌字符串或结构添加到上下文中?我看到大量的例子解释了如何阅读/使用它们,但我没有看到解释如何在登录功能中将数据插入上下文。
例如,chi文档here有以下代码来检查管理员用户哪个对我有用,但它没有提供关于auth对象如何首先进入上下文的线索。还有另一个中间件函数描述如何将文章结构加载到上下文中,并从URL获取其id参数,但这对我不起作用。我真的不想使用cookie,因为这会破坏使用上下文的整个目的。
// AdminOnly middleware restricts access to just administrators.
func AdminOnly(next http.Handler) http.Handler {
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
isAdmin, ok := r.Context().Value("acl.admin").(bool)
if !ok || !isAdmin {
http.Error(w, http.StatusText(http.StatusForbidden), http.StatusForbidden)
return
}
next.ServeHTTP(w, r)
})
}
在下面的示例中,我想在上下文中存储User结构或身份验证令牌。
另外,我如何处理上下文中的闪烁?我可以这样做,还是应该坚持使用基于数据库的Web应用程序会话?
理想情况下,我想对Web应用程序服务模板和单独的API应用程序使用相同的方法。
这是我的网络应用程序登录代码,简化了一点来删除cruft:
func (rs *appResource) login(w http.ResponseWriter, r *http.Request) {
// appResource contains db connection, session store and templates
var authUser AuthUser //struct
session, err := rs.store.Get(r, "admin-data")
email := r.FormValue("email")
password := r.FormValue("password")
sqlStatement := "SELECT id, venue_id, first_name, last_name, email, password FROM Users WHERE email=?"
row := rs.db.QueryRow(sqlStatement, email)
err = row.Scan(&authUser.UserID, &authUser.VenueID, &authUser.FirstName, &authUser.LastName, &authUser.Email, &authUser.Password)
if err = bcrypt.CompareHashAndPassword([]byte(authUser.Password), []byte(password)); err != nil {
session.AddFlash("Your password is incorrect")
session.Save(r, w)
http.Redirect(w, r, "/signin", http.StatusFound)
return
}
authUser.Authenticated = true
session.Values["authUser"] = authUser
firstName := authUser.FirstName
message := fmt.Sprintf("Welcome, %s!", firstName)
session.AddFlash(message)
session.Save(r, w)
http.Redirect(w, r, "/", http.StatusFound)
}
从关于上下文的go文档,到上下文中设置一个值,你只需要使用WithValue。
为了给你一个想法,最简单的例子是:
package main
import (
"fmt"
"context"
)
func main() {
const key = "myKey"
ctx := context.Background()
ctx := context.WithValue(ctx, key, "someVal")
v, ok := ctx.Value(key).(string)
if !ok {
fmt.Println("key does not exist in the context")
return
}
fmt.Printf("found %v", v)
}
现在,按照示例,在上下文中设置新值非常简单。当我们谈论r.Context()
时,之前出现的背景已经使用*http.Request
在WithContext请求中设置。只是一个简单的例子:
package main
import (
"http"
"context"
)
func main() {
req, err := http.NewRequest(
http.MethodGet,
"/someEdp",
nil,
)
if err != nil {
fmt.Println(err)
return
}
ctx := context.Background()
ctx := context.WithValue(ctx, "auth-token", "mySecretToken")
req = req.WithContext(ctx)
// Do the request
}
要在你的处理程序中阅读它,它将像以下一样简单:
func (rs *appResource) login(w http.ResponseWriter, r *http.Request) {
...
ctx := r.Context()
v, ok := ctx.Value("auth-token").(string)
if !ok {
fmt.Println("ups")
return
}
fmt.Printf("found %v", v)
// Do something
}
现在,如果您想使用此机制在上下文中安全地存储和读取授权令牌,我建议您查看一下@Mat Ryer编写的关于context keys的文章。
基本上,任何“拦截”您的请求的人都可能会从您的请求中读取授权令牌,因为您使用字符串作为密钥。
相反,您应该定义私有上下文密钥,以允许您从上下文设置/读取授权令牌。
package main
import (
"fmt"
"context"
)
type contextKey string
var contextKeyAuthtoken = contextKey("auth-token")
func setToken(ctx context.Context, token string) context.Context {
return context.WithValue(ctx, contextKeyAuthtoken, token)
}
func getToken(ctx context.Context) (string, bool) {
tokenStr, ok := ctx.Value(contextKeyAuthtoken).(string)
return tokenStr, ok
}
func main() {
ctx := context.Background()
ctx = setToken(ctx, "someToken")
t, ok := getToken(ctx)
if !ok {
fmt.Println("unauthorized")
return
}
fmt.Printf("authorized with token %v", t)
}
这是我为上面的片段设置的playground。
因此,您将在请求(您的接收器处理程序)和getToken
的消费者中使用setToken
在另一个服务(?)或服务的另一个逻辑组件中。
通过这种方式,您(并且只有您)将能够从上下文中读取您的授权令牌,并允许用户执行某些操作。