代码之家 › 专栏 › 技术社区 › Lassi

在Go web app路由器中检查用户权限的最佳方法

middleware permissions web go

Lassi · 技术社区 · 7 年前

我的web应用有三个访问级别的URL:

任何人都可以访问的(登录页面和静态资产)
登录的可访问的常规用户和管理员
只有登录的管理员才能访问

我应该为路由器中的每个URL模式指定最低访问级别,以便阻止低于该级别的人。(我想他们应该得到HTTP错误401或403。)

如何最好地实现这些检查,以便我不必记住将它们分别放在每个URL处理程序函数中(这很容易忘记)?理想情况下,我想这样做:

router.Get("/someRegularPage", regularAccess(handleSomeRegularPage))
router.Get("/someAdminPage", adminAccess(handleSomeAdminPage))
router.Get("/", publicAccess(handleLoginPage))

是否有一些半标准的中间件可以做到这一点,以及它是如何工作的?写我自己的有多难?

此外,如果默认权限是拒绝所有人的访问,以防我忘记指定某个URL的访问级别,那就太好了。编译器警告或错误是理想的。

2 回复 | 直到 7 年前

Franck Jeannin 7 年前

写自己的并不难。假设您将admin令牌存储在名为ADMINTOKEN的环境变量中:

func AdminOnly(f func(w http.ResponseWriter, r *http.Request)) func(w http.ResponseWriter, r *http.Request) {
    return func(w http.ResponseWriter, r *http.Request) {
        w.Header().Set("Access-Control-Allow-Headers", "Accept, Content-Type, Content-Length, Accept-Encoding, Authorization")
        if r.Method == "OPTIONS" {
            f(w, r)
            return
        }

        h := r.Header.Get("Authorization")
        token := strings.TrimPrefix(h, "Bearer ")
        if token == os.Getenv("ADMINTOKEN") {
            f(w, r)
            return
        }

        http.Error(w, http.StatusText(http.StatusUnauthorized), http.StatusUnauthorized)
    }
}

由于CORS的原因,选项方法可能必须经过授权。

Venantius 7 年前

简而言之,就是编写中间件来处理授权。从长远来看,可以帮助您解决问题的一个较长的答案是,为端点和中间件一起使用适当的路由路径。例如,您可以使用 /api/admin 然后使用相关的管理身份验证中间件将路由器包装为单独的路由。

推荐文章

ginad · 如何在go-app组件中执行javascript代码

9 月前

Jason Fingar · 方法在另一个方法的上下文中不可访问

10 月前

Flissi Hamed · 从抓取aliexpress到使用chromedp的无头浏览器

10 月前

Adam Presley · GORM错误:“运算符不存在:bigint=text”

10 月前

Jess The Witch · GCP云功能中处理延迟任务的模式

10 月前

Moonlit · 在Golang中将`func()Foo`转换为`func)any`?

10 月前

pmoubed · 这是使用计时器的goroutine泄漏吗?

10 月前

Kurt Peek · 在Go模板中,如何仅在字符串值非空的情况下添加一行?

11 月前

Harimbola Santatra · 如何获取JSON中包含unicode代码点的键的值?

11 月前

techStud · 为什么Go在变量超出作用域后立即取消引用悬挂指针时不会抛出错误?

11 月前