[golang]關於 Golang API 開發 中,權限管理(Authorization)

 Golang API 開發 中,權限管理(Authorization) 是一個關鍵的部分,確保只有符合條件的使用者或系統能夠存取特定資源。一般來說,權限管理的方式包括:

  1. 基於角色的存取控制(RBAC, Role-Based Access Control)
  2. 基於屬性的存取控制(ABAC, Attribute-Based Access Control)
  3. JWT(JSON Web Token)驗證
  4. OAuth 2.0 & OpenID Connect
  5. API 金鑰驗證(API Key)

以下是各種權限管理方式的詳細說明與 Golang 實作範例:


1. 基於角色的存取控制(RBAC)

RBAC(Role-Based Access Control) 是最常見的權限管理方式,根據使用者的「角色」來決定是否授權存取 API。

RBAC 權限架構

    • 使用者(User):代表 API 的訪客或系統帳號
    • 角色(Role):如 adminusereditor
    • 權限(Permission):對應 API 的存取權限,如 readwritedelete

RBAC 中間件實作

package main
import (
	"fmt"
	"net/http"
)
// 假設我們有一個角色對應的權限
var rolePermissions = map[string][]string{
	"admin": {"read", "write", "delete"},
	"user":  {"read"},
}
// 模擬取得使用者角色的函式(通常來自 JWT 或資料庫)
func getUserRole(r *http.Request) string {
	// 這裡假設從 Header 取得使用者角色
	return r.Header.Get("Role")
}
// 權限檢查中間件
func PermissionMiddleware(requiredPermission string, next http.Handler) http.Handler {
	return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
		userRole := getUserRole(r)
		
		// 取得該角色的權限
		permissions, exists := rolePermissions[userRole]
		if !exists {
			http.Error(w, "Unauthorized", http.StatusUnauthorized)
			return
		}
		
		// 檢查角色是否擁有所需權限
		for _, perm := range permissions {
			if perm == requiredPermission {
				next.ServeHTTP(w, r)
				return
			}
		}
		http.Error(w, 
		http.Error(w, "Forbidden", http.StatusForbidden)
	})
}
func main() {
	mux := http.NewServeMux()
	
	// 受保護的 API 只允許擁有 "read" 權限的角色存取
	mux.Handle("/protected", PermissionMiddleware("read", http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
		fmt.Fprintln(w, "這是一個受保護的 API")
	})))
	http.ListenAndServe(
	http.ListenAndServe(":8080", mux)
}

測試

假設啟動服務後,使用 curl 測試:

curl -H "Role: user" http://localhost:8080/protected

如果是 user 角色,就會成功存取;如果角色沒有 read 權限,則會被拒絕。


2. 基於屬性的存取控制(ABAC)

ABAC(Attribute-Based Access Control) 透過「使用者、資源、環境」等多個屬性來決定是否授權,適用於更細緻的權限控制。

舉例:只有 部門經理 且 IP 在公司內部網段 才能存取某 API。

func ABACMiddleware(next http.Handler) http.Handler {
	return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
		userRole := getUserRole(r)
		clientIP := r.RemoteAddr // 假設從這裡取 IP
		
		// 例:部門經理 & IP 來自內部網段,才能存取
		if userRole == "manager" && clientIP == "192.168.1.100" {
			next.ServeHTTP(w, r)
			return
		}
		http.Error(w, 
		http.Error(w, "Forbidden", http.StatusForbidden)
	})
}

3. JWT(JSON Web Token)驗證

JWT 是 API 身份驗證中最常用的方法,透過 Token 來識別使用者身份,並附帶角色資訊。

步驟

    1. 登入 API 回傳 JWT Token
    2. 使用者請求 API 時,攜帶 JWT Token
    3. 後端驗證 JWT,並解析角色資訊

JWT Middleware 實作

需要使用 github.com/golang-jwt/jwt/v5

package main
import (
	"fmt"
	"net/http"
	"strings"
	"github.com/golang-jwt/jwt/v5"
)
var jwtKey = []byte("secret_key") // 這裡應該用環境變數設定
// JWT 驗證中間件
func JWTMiddleware(next http.Handler) http.Handler {
	return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
		authHeader := r.Header.Get("Authorization")
		if authHeader == "" {
			http.Error(w, "Missing token", http.StatusUnauthorized)
			return
		}
		tokenString := strings.TrimPrefix(authHeader, 
		tokenString := strings.TrimPrefix(authHeader, "Bearer ")
		claims := &jwt.RegisteredClaims{}
		token, err := jwt.ParseWithClaims(tokenString, claims, func(token *jwt.Token) (interface{}, error) {
			return jwtKey, nil
		})
		
		if err != nil || !token.Valid {
			http.Error(w, "Invalid token", http.StatusUnauthorized)
			return
		}

		fmt.Println("Authenticated user:", claims.Subject) // 解析 JWT 內的 user 資訊
		next.ServeHTTP(w, r)
	})
}

前端請求時加上 Authorization: Bearer <JWT Token>,後端解析後就能獲取用戶資訊。


4. OAuth 2.0 & OpenID Connect

如果 API 需要整合 Google、Facebook、GitHub 登入,可以使用 OAuth 2.0 或 OpenID Connect。

在 Golang 中,可使用 golang.org/x/oauth2 套件來處理 OAuth 驗證。

import "golang.org/x/oauth2"

(此方式較複雜,適用於 第三方登入,通常與 JWT 配合使用)


5. API 金鑰驗證

有些 API(如外部 API 或無狀態服務)會使用 API Key 來管理存取權限。

在 Header 中傳遞 API-Key,後端驗證 Key 是否有效。

func APIKeyMiddleware(next http.Handler) http.Handler {
	return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
		apiKey := r.Header.Get("API-Key")
		if apiKey != "my-secret-key" {
			http.Error(w, "Forbidden", http.StatusForbidden)
			return
		}
		next.ServeHTTP(w, r)
	})
}

結論

  • RBAC:適用於角色管理(Admin、User 等)。
  • ABAC:適用於需要更細膩條件(如 IP 限制、時間限制)。
  • JWT:適用於身份驗證,適合 無狀態 API
  • OAuth 2.0:適用於 第三方身份驗證(Google/Facebook 登入)
  • API Key:適用於 外部服務存取 API

留言

張貼留言

這個網誌中的熱門文章

[Kotlin]如何學習Kotlin

學習 Kotlin 主要分為幾個階段,根據你的需求(Android 開發、後端開發、Kotlin Multiplatform 等),可以選擇不同的路徑。下面是 完整的 Kotlin 學習指南 ,適合初學者到進階開發者。 1️⃣ 基礎入門 1.1 安裝 Kotlin 開發環境 你可以在不同的平台使用 Kotlin: ✅ 在線學習 (不需安裝) Kotlin 官方 Playground (適合快速測試代碼) ✅ 本地開發 IntelliJ IDEA (推薦,官方 IDE) Android Studio (如果想學 Android 開發) VS Code (需安裝 Kotlin 插件) 命令行 (需要安裝 JDK 和 Kotlin) 安裝 Kotlin 命令行工具 如果想在命令行運行 Kotlin 代碼,可以安裝 Kotlin 編譯器: sh # macOS/Linux (使用 SDKMAN) curl -s https://get.sdkman.io | bash sdk install kotlin # Windows (使用 Chocolatey) choco install kotlin 測試 Kotlin 是否安裝成功: sh kotlin -version 1.2 Kotlin 語法基礎 📌 推薦資源 Kotlin 官方文檔 Kotlin 官方教程 🔥 基本語法 kotlin fun main () { val name: String = "Kotlin" println( "Hello, $name !" ) // 字符串模板 } ✅ 變量與數據類型 kotlin val immutable: String = "不能改變" // val = 只讀 var mutable: Int = 10 // var = 可變 mutable = 20 ✅ 條件語句 kotlin val age = 18 if (age >= 18 ) { println( "成年人" ) } else { println( "未成年" ) } ✅ 函數 kotlin fun add (a: Int ...
閱讀完整內容

[golang]如何使用 gorm 高效執行批量插入 (可以透過 Create()、CreateInBatches(),或者 原生 SQL 語句 來提升效率)

  方法 1:使用  CreateInBatches() (推薦) CreateInBatches()  是  gorm  提供的批量插入方法,支援設定單批次的筆數,適合大規模資料寫入。 範例 package main import ( "log" "gorm.io/driver/mysql" "gorm.io/gorm" ) type User struct { ID uint `gorm:"primaryKey"` Name string Age int } func main () { dsn := "user:password@tcp(127.0.0.1:3306)/testdb?charset=utf8mb4&parseTime=True&loc=Local" db, err := gorm.Open(mysql.Open(dsn), &gorm.Config{}) if err != nil { log.Fatal( "資料庫連接失敗:" , err) } // 準備批量插入的資料 var users []User for i := 1 ; i <= 1000 ; i++ { users = append (users, User{Name: "User" + string (i), Age: 20 + (i % 10 )}) } // 批量插入,每批 100 筆 if err := db.CreateInBatches(users, 100 ).Error; err != nil { log.Fatal( "批量插入失敗:" , err) } else { log.Println( "批量插入成功!" ) } } 優勢 : 可控每批插入筆數 ,減少單次 SQL 負擔(如  100  筆一批)。 支援事務 ,避免部分插入失敗導致數據不一致。 限制 : CreateInBatches()  會執行  多次 SQ...
閱讀完整內容

[Kotlin]Kotlin Multiplatform (KMP) 如何安裝使用和部署

 Kotlin Multiplatform (KMP) 是 JetBrains 推出的跨平台開發技術,允許使用 Kotlin 共享核心業務邏輯,同時為不同平台(如 Android、iOS、桌面和 Web)提供各自的 UI。 1️⃣ 安裝與環境設置 1.1 安裝 Kotlin 和 Gradle KMP 使用 Gradle 作為構建工具,因此需要安裝: Kotlin (通常隨 Gradle 自帶) Gradle (建議使用最新版本) Android Studio (開發 Android 部分) Xcode (開發 iOS 部分) 如果你使用 IntelliJ IDEA 或 Android Studio,這些工具通常已預裝。 1.2 安裝 Kotlin Multiplatform 插件 在 Android Studio 或 IntelliJ IDEA: File → Settings → Plugins 搜索 Kotlin Multiplatform Mobile 點擊 Install 安裝 重啟 IDE 2️⃣ 創建 Kotlin Multiplatform 專案 2.1 使用官方範本 可以使用 Kotlin 官方提供的範本來快速建立 KMP 項目: sh # 使用 KMP 官方範本 curl -s https://get.sdkman.io | bash sdk install kotlin 或直接在 Android Studio 內: File → New → New Project 選擇 Kotlin Multiplatform App 選擇所需的目標平台(Android、iOS、Web、Desktop) 2.2 目錄結構 KMP 項目通常具有以下目錄結構: bash root/ ├── shared/ # 共享代碼(Kotlin) │ ├── src/commonMain/ # 共享業務邏輯(Kotlin) │ ├── src/androidMain/ # Android 相關代碼 │ ├── src/iosMain/ # iOS 相關代碼 │ └── build.gradle.kts # KMP 配置 ├── androidApp/ # Android 專案...
閱讀完整內容