Go语言实现OAuth 2.0认证服务器

已于 2025-04-16 17:10:39 修改
阅读量1.2k 收藏 30
点赞数 13
CC 4.0 BY-SA版权
分类专栏: 安全 go 文章标签: golang 服务器 安全
于 2025-04-16 16:59:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tatasix/article/details/147281496

文章目录

1. 项目概述

上一篇文章中,我们详细介绍了OAuth 2.0的基本概念、授权流程以及各种授权模式的应用场景。本文将使用Go语言实现一个完整的OAuth 2.0认证服务器。

我们选择了github.com/openshift/osin这个成熟的OAuth 2.0框架作为基础,重点实现了其MySQL 来作为storage的驱动。osin提供了OAuth 2.0服务器的核心功能,但它的存储接口需要我们自己实现。通过实现MySQL存储,我们可以将OAuth 2.0的授权数据持久化到数据库中,使得服务更加可靠和可扩展。

本文的完整代码:oauth2

1.1 OAuth2 流程

让我们通过一个流程图来说明这些方法在 OAuth2 授权码模式中的位置:
在这里插入图片描述

2. OAuth 2.0 Storage接口解析

osin库中的Storage接口是实现OAuth 2.0服务器的核心,它定义了所有必要的存储操作。让我们详细解析每个方法在OAuth 2.0流程中的作用:

2.1 基础方法

Clone() Storage   // 克隆存储实例,用于处理并发访问
Close()          // 关闭存储连接,释放资源

2.2 客户端管理相关方法

   GetClient(id string) (Client, error)
   UpdateClient(c Client) error
   CreateClient(c Client) error
   RemoveClient(id string) error

这些方法负责OAuth客户端的CRUD操作:

  • GetClient: 根据客户端ID获取客户端信息,用于验证客户端身份
  • UpdateClient: 更新客户端信息
  • CreateClient: 创建新的客户端
  • RemoveClient: 删除指定客户端

2.3 授权码相关方法

   SaveAuthorize(data *AuthorizeData) error
   LoadAuthorize(code string) (*AuthorizeData, error)
   RemoveAuthorize(code string) error

这些方法处理授权码授权流程:

  • SaveAuthorize: 保存授权码信息
  • LoadAuthorize: 验证授权码有效性
  • RemoveAuthorize: 使用后删除授权码

这组方法用于处理授权码的生命周期:

2.4 访问令牌相关方法

   SaveAccess(data *AccessData) error
   LoadAccess(token string) (*AccessData, error)
   RemoveAccess(token string) error

这些方法处理访问令牌的生命周期:

  • SaveAccess: 保存访问令牌
  • LoadAccess: 验证访问令牌
  • RemoveAccess: 撤销访问令牌

访问令牌的生命周期管理:

在这里插入图片描述

2.5 刷新令牌相关方法

   LoadRefresh(token string) (*AccessData, error)
   RemoveRefresh(token string) error

这些方法处理刷新令牌:

  • LoadRefresh: 加载刷新令牌对应的访问令牌数据
  • RemoveRefresh: 删除刷新令牌

刷新令牌的处理流程:

在这里插入图片描述

2.6 方法调用时序

在完整的 OAuth2 流程中,这些方法的调用顺序如下:

在这里插入图片描述

2.7 关键注意点

  1. 原子性

    • SaveAuthorize 和 SaveAccess 操作需要保证原子性
    • RemoveAuthorize 和 SaveAccess 通常需要在同一事务中执行

  2. 安全性

    • 所有存储的令牌数据应该加密
    • 实现适当的过期机制

  3. 性能考虑

    • LoadAccess 方法会频繁调用,应考虑缓存
    • Clone 方法对并发性能很重要

  4. 数据一致性

    • 确保授权码只能使用一次
    • 正确处理令牌过期
    • 维护刷新令牌与访问令牌的关联

3. MySQL存储实现原理

3.1 数据库设计

项目使用了两个主要的数据表:

CREATE TABLE client (
    id           varchar(255) NOT NULL PRIMARY KEY,
    secret       varchar(255) NOT NULL,
    extra        text,
    redirect_uri varchar(255) NOT NULL,
    created_at   timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP
)

CREATE TABLE token (
    id            varchar(255) NOT NULL PRIMARY KEY,
    client_id     varchar(255) NOT NULL,
    type          varchar(20) NOT NULL,    
    access_token  varchar(255),            
    refresh_token varchar(255),            
    code          varchar(255),            
    expires_in    int NOT NULL,
    scope         varchar(255),
    redirect_uri  varchar(255) NOT NULL,
    state         varchar(255),
    extra         text,
    created_at    timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP,
    expires_at    timestamp NULL
)

3.2 核心实现

我们的MySQL存储实现主要包含以下特点:

  1. 使用go-zero框架的sqlx包进行数据库操作
  2. 实现了完整的事务支持
  3. 支持令牌过期检查
  4. 提供了表前缀支持,便于多租户场景

4. OAuth 2.0授权码流程时序图

在这里插入图片描述

5. 使用示例

5.1 初始化存储

func initStorage(svcCtx *svc.ServiceContext) *service.Storage {
    storage := service.NewStorage(svcCtx, "oauth2_")
    err := storage.CreateSchemas()
    if err != nil {
        panic(err)
    }
    return storage
}

5.2 创建OAuth服务器

// newOAuthServer 创建一个新的OAuth服务器实例
func newOAuthServer(svc *svc.ServiceContext) *osin.Server {
   config := osin.NewServerConfig()
   config.AllowedAuthorizeTypes = osin.AllowedAuthorizeType{osin.CODE}
   config.AllowedAccessTypes = osin.AllowedAccessType{
      osin.AUTHORIZATION_CODE,
      osin.REFRESH_TOKEN,
   }
   config.AuthorizationExpiration = 600 // 10分钟
   config.AccessExpiration = 3600       // 1小时
   config.AllowGetAccessRequest = true
   config.ErrorStatusCode = 401
   
   storage := service.NewStorage(svc, "osin_")
   server := osin.NewServer(config, storage)
   
   return server
}

5.3 实现授权端点

func AuthorizeHandler(svc *svc.ServiceContext) http.HandlerFunc {
   return func(w http.ResponseWriter, r *http.Request) {
      server := newOAuthServer(svc)
      resp := server.NewResponse()
      defer resp.Close()
      
      if ar := server.HandleAuthorizeRequest(resp, r); ar != nil {
         // 验证客户端
         if ar.Client == nil {
            resp.SetError("unauthorized_client", "客户端未授权")
            osin.OutputJSON(resp, w, r)
            return
         }
         
         // 验证重定向URI
         if ar.RedirectUri == "" {
            resp.SetError("invalid_request", "缺少重定向URI")
            osin.OutputJSON(resp, w, r)
            return
         }
         
         ar.Authorized = true
         
         // 完成授权请求,这里只会返回授权码
         server.FinishAuthorizeRequest(resp, r, ar)
         
         // 如果没有错误,会重定向到客户端的redirect_uri,并带上授权码
         if !resp.IsError {
            resp.Type = osin.REDIRECT
         }
      }
      
      // 输出响应(可能是重定向或错误信息)
      osin.OutputJSON(resp, w, r)
   }
}

5.4 实现客户端令牌端点

func TokenHandler(svc *svc.ServiceContext) http.HandlerFunc {
   return func(w http.ResponseWriter, r *http.Request) {
      logger := logx.WithContext(r.Context())
      server := newOAuthServer(svc)
      resp := server.NewResponse()
      defer resp.Close()
      
      if ar := server.HandleAccessRequest(resp, r); ar != nil {
         // 验证客户端
         if ar.Client == nil {
            resp.SetError("unauthorized_client", "客户端未授权")
            osin.OutputJSON(resp, w, r)
            return
         }
         
         // 授权请求
         ar.Authorized = true
         server.FinishAccessRequest(resp, r, ar)
      }
      
      if resp.IsError {
        logger.Errorf("Token error: %v", resp.InternalError)
      } else {
        logger.Infof("Token granted: %s", resp.Output["access_token"])
      }
      
      osin.OutputJSON(resp, w, r)
   }
}

5.5 Callback回调断点(code换access_token)

func CallbackHandler(svc *svc.ServiceContext) http.HandlerFunc {
	return func(w http.ResponseWriter, r *http.Request) {
		// 获取授权码
		code := r.URL.Query().Get("code")
		if code == "" {
			// 检查是否有错误信息
			if error := r.URL.Query().Get("error"); error != "" {
				errorDesc := r.URL.Query().Get("error_description")
				http.Error(w, fmt.Sprintf("授权失败: %s - %s", error, errorDesc), http.StatusBadRequest)
				return
			}
			http.Error(w, "未收到授权码", http.StatusBadRequest)
			return
		}

		// 初始化 OAuth 服务器
		server := newOAuthServer(svc)

		// 先加载授权数据
		authData, err := server.Storage.LoadAuthorize(code)
		if err != nil {
			resp := server.NewResponse()
			resp.SetError("invalid_grant", "授权码无效或已过期")
			osin.OutputJSON(resp, w, r)
			return
		}

		// 创建访问令牌请求
		ar := &osin.AccessRequest{
			Type:            osin.AUTHORIZATION_CODE,
			Code:            code,
			Client:          authData.Client,
			RedirectUri:     authData.RedirectUri,
			Scope:           authData.Scope,
			GenerateRefresh: true,
			Authorized:      true,
            Expiration:      server.Config.AccessExpiration,
		}

		// 处理访问令牌请求
		resp := server.NewResponse()
		defer resp.Close()

		if err := server.Storage.RemoveAuthorize(code); err != nil {
			resp.SetError("server_error", "无法删除授权码")
			osin.OutputJSON(resp, w, r)
			return
		}

		server.FinishAccessRequest(resp, r, ar)
		if resp.IsError {
			osin.OutputJSON(resp, w, r)
			return
		}

		// API 请求则返回 JSON
		osin.OutputJSON(resp, w, r)
	}
}

完整流程

在这里插入图片描述

关键流程说明

  1. 授权码获取:
    • 客户端首先访问/oauth/authorize端点获取授权码
    • 服务器生成授权码并保存到数据库
  2. 授权码换取令牌:
    • 客户端带着授权码访问/oauth/callback端点
    • CallbackHandler负责验证授权码并换取访问令牌
    • 这一步通常在实际应用中是由前端页面完成的,但在我们的实现中直接由后端处理
  3. 令牌生成流程:
    • 验证授权码有效性
    • 删除已使用的授权码(确保一次性使用)
    • 生成访问令牌和刷新令牌
    • 将令牌信息返回给客户端

6. 总结

本项目实现了一个完整的OAuth 2.0认证服务器,通过实现osin的Storage接口,提供了可靠的MySQL存储层。主要特点包括:

  1. 完整实现OAuth 2.0规范
  2. 可靠的MySQL存储实现
  3. 支持授权码和刷新令牌流程
  4. 完善的错误处理和安全机制
  5. 易于扩展和定制

通过这个实现,我们可以快速搭建起一个生产级别的OAuth 2.0认证服务器,为各类应用提供标准的身份认证服务。

Golang OAuth2 常见问题与解决方案
Golang编程笔记的博客
05-08 1141
本文针对Golang开发者在实现OAuth2认证授权时遇到的典型问题,提供系统性解决方案。内容覆盖OAuth2核心流程(授权码模式、隐式模式、客户端凭证模式、资源所有者密码模式)的Golang实现细节,重点解决令牌生命周期管理、安全漏洞防范、跨平台适配等工程问题。通过理论分析与代码实战结合,帮助开发者建立健壮的认证授权体系。背景知识:OAuth2核心概念与Golang生态简介核心问题:令牌管理、状态验证、重定向安全等六大类问题解析解决方案:结合代码示例的分步实现指南。
在优快云学Golang场景化解决方案(OAuth2.0授权登录)
YKM_2580的博客
07-29 1319
OAuth2.0 定义了四种授权方式,即授权码(Authorization Code)、隐藏式(Implicit)、密码式(Resource Owner Password Credentials)和客户端凭证(Client Credentials)。OAuth 2.0 是一种用于授权的开放标准,可以让用户授权第三方应用程序访问他们存储在另一个服务提供商上的资源,例如图片、文本等。这就是 OAuth 2.0 协议的流程,可以帮助第三方应用程序安全地访问用户存储在其他服务提供商上的资源。
深入理解Go语言OAuth2服务器实现:RichardKnop-go-oauth2-server
最新发布
weixin_28939623的博客
10-04 965
本文还有配套的精品资源,点击获取 简介:RichardKnop开发的开源项目Go-oauth2-server为Go语言开发者提供了一个构建OAuth2授权服务器的框架,支持多种授权方式和令牌管理,强调安全性和可定制性。该项目涵盖了OAuth2核心概念,如客户端管理、授权流程、令牌管理、安全验证、回调处理、错误处理、可扩展性以及测试与文档。开发者能够通过深入学习该项目,来掌握...
Go-GoOAuth2OAuth2.0规范的一个客户端Go实现
08-13
Go OAuth2OAuth 2.0规范的一个客户端Go实现
实战指南:Go语言中的OAuth2认证
繁依Fanyi的博客
06-04 2169
在网络应用程序开发中,安全性和用户身份验证是至关重要的方面。OAuth2(开放授权2.0)是一种广泛应用于网络身份验证和授权的标准协议。它允许客户端应用程序以安全且受控的方式访问受保护资源,而无需用户提供其凭据。
Golang写一个OAuth2服务端
mujingluo的博客
04-04 1297
/ 在 MySQL 中创建表结构`)if err!= nil {
go-oauth2-server:使用Golang编写的独立的,符合规范的OAuth2服务器
02-02
转到OAuth2服务器 该服务实现。 该规范的摘录包含在此README文件中,以描述不同的授予类型。 请阅读完整规格以获得更多详细信息。 OAuth 2.0 客户端认证 向/v1/oauth/tokens端点发出请求时,客户端必须使用客户端凭据(客户端ID和密码)进行身份验证。 应该使用基本的HTTP身份验证。 赠款类型 授权码 授权码授予类型用于获取访问令牌和刷新令牌,并且已针对机密客户端进行了优化。 由于这是基于重定向的流程,因此客户端必须能够与资源所有者的用户代理(通常是Web浏览器)进行交互,并且能够(通过重定向)接收来自授权服务器的传入请求。 +----------+ | Resource | | Owner | | | +----------+ ^ | (B) +----|-----+ Client Identifier +---------------+ | -+----(A)-- & Redirection URI ---->| | | U
OAuth2-Go:使用GoOAuth2示例应用
05-17
OAuth2-Go示例应用 已使用Go编程语言编写了此OAuth 2.0示例应用程序,以提供OAuth 2.0概念的有效示例以及如何与Intuit端点集成。 目录 要求 为了成功运行此示例应用程序,您需要做一些事情: 去安装 一个帐户 上的应用程序以及关联的客户端ID和客户端密钥。 首次使用说明 go get -d github.com/IntuitDeveloper/OAuth2-Go 通过从应用程序的键部分复制来填充config.json文件值(clientId,clientSecret)。 运行代码 一旦示例应用程序代码在您的计算机上,您就可以执行以下步骤来运行该应用程序: 使用以下命令安装示例cd $GOPATH/src/github.com/IntuitDeveloper/OAuth2-Go go install 使用下面的两个命令之一运行示例$GOPATH/bin/O
Go编程语言OAuth2.0服务器库。_Go_HTML_下载.zip
04-25
通过以上讨论,我们可以看到Go语言OAuth2.0服务器库提供了一个强大且灵活的框架,用于构建符合OAuth2.0标准的授权服务。理解其工作原理和最佳实践对于构建安全、可靠的应用至关重要。在实际项目中,开发者应根据...
java实现oauth2.0服务端+客户端(含JWT)
12-15
OAuth 2.0实现中,JWT可以作为访问令牌使用,客户端可以通过这个令牌向资源服务器证明其已获得授权。 在实际的实现过程中,我们需要创建以下类: - **AuthorizationServerConfig**:配置授权服务器,包括端点...
适用于Gin-Gonic的OAuth 2.0授权服务器和授权中间件-Golang开发
05-26
oauth中间件Gin-Gonic的OAuth 2.0授权服务器和授权中间件该库提供基于Gin-Gonic的OAuth 2.0授权服务器和可在资源服务器中使用的授权中间件dev oauth中间件Gin-Gonic的OAuth 2.0授权服务器和授权中间件该库提供了基于...
Clover v2.0.0: Go语言实现OAuth 2.0服务器新特性解析
综上所述,Clover是一个功能全面的OAuth 2.0服务器实现,支持多种授权模式、存储选项和安全特性,可以被集成到多种Go语言编写的Web应用和微服务架构中,以提供安全的用户授权和令牌管理。开发者可以根据自己的需求...
Go-Golang语言OAuth2服务器
08-14
OSIN 是一个Go语言OAuth2 服务器库,使用它,你可以构建自己的OAuth2验证服务。
oauth2-example:Go的一个简单Oauth2示例
02-03
Oauth2-使用Go的示例 身份验证是任何应用程序中最常见的部分。 您可以实现自己的身份验证系统,也可以使用现有的许多替代方法之一,但是在这种情况下,我们将使用OAuth2OAuth是一项规范,允许用户委派访问其数据的权限,而无需与该服务共享用户名和密码,如果您想了解有关Oauth2的更多信息,请访问。 配置Google Project 首先,我们需要创建我们的Google Project并创建OAuth2凭据。 转到Google Cloud Platform 创建一个新项目,或者如果已有的话选择一个。 转到凭据,然后选择“ OAuth客户端ID”以创建一个新凭据 添加“授权重定向URL”,例如localhost:8000/auth/google/callback 复制client_id和客户密码 OAuth2如何与Google配合使用 授权顺序从您的应用程序将浏览器重定向到Google URL时开始; 该URL包含指示所请求访问类型的查询参数。 Google处理用户身份验证,会话选择和用户同意。 结果是授权码,应用程序可以将其授权给交换代码以获取访问令牌和刷新令牌。
go-OAuth2.0
jianlee1991的博客
06-30 1035
注册 在https://github.com/settings/applications/new注册一个应用,获取clientId 和 client secrets 通过github进行授权 前段页面 访问: <a href="https://github.com/login/oauth/authorize?client_id=e511f4733c56d5487d5d&redirect_uri=http://localhost:8087/oauth/redirect">..
【亲测免费】 探索 Go 语言 OAuth2 库:一个高效且安全的身份验证解决方案
gitblog_00069的博客
03-21 978
探索 Go 语言 OAuth2 库:一个高效且安全的身份验证解决方案 在现代 Web 开发中,OAuth2 是一种广泛用于授权和身份验证的标准协议。Go 语言社区提供了一个强大的库——golang/oauth2,它为开发者提供了实现 OAuth2 协议的强大工具。本文将详细介绍这个项目的特性、技术分析、应用场景,帮助您更好地理解和利用这一优秀资源。 项目简介 golang/oauth2 是由 Go...
推荐一款精简而强大的Go语言OAuth2示例项目
gitblog_00059的博客
06-15 973
推荐一款精简而强大的Go语言OAuth2示例项目 在现代应用开发中,认证与授权是绕不开的话题,尤其是当涉及到第三方服务的集成时。今天要为大家介绍的是一款基于Go语言实现OAuth2示例项目——它不仅提供了一个清晰的学习框架,还展示了如何安全地进行Google登录认证。 项目介绍 这个项目旨在展示OAuth2协议的实践运用,特别是针对Google的身份验证流程。通过使用Golang官方库中的oau...
oauth2.0服务端与客户端搭建
diankui6178的博客
01-10 384
oauth2.0服务端与客户端搭建 - 推酷 今天搭建了oauth2.0服务端与客户端。把搭建的过程记录一下。具体实现的功能是:client.ruanwenwu.cn的用户能够通过 server.ruanwenwu.cn的用户名和密码登陆client.ruanwenwu.cn。并且登陆 后,client.ruanwenwu.cn的用户能获取server.ruanwenwu.cn哪里的一...
Oauth2.0 认证服务器搭建
白云苍狗
07-29 3104
***配置token//令牌存储方案采用JWTreturnnewJwtTokenStore(jwtAccessTokenConverter());}/**AccessToken转换器定义token的生成方式表示采用JWT来生成//对称秘钥,资源服务器使用该秘钥来验证returnconverter;}}//查询用户信息的service,自行定义privatefinalUserServiceuserService;...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值