当前位置：首页 > news >正文

Go语言实现OAuth 2.0认证服务器

news 来源：原创 2025/8/23 15:21:02

文章目录

- 1. 项目概述
- - 1.1 OAuth2 流程
- 2. OAuth 2.0 Storage接口解析
- - 2.1 基础方法
  - 2.2 客户端管理相关方法
  - 2.3 授权码相关方法
  - 2.4 访问令牌相关方法
  - 2.5 刷新令牌相关方法
- 2.6 方法调用时序
- 2.7 关键注意点
- 3. MySQL存储实现原理
- - 3.1 数据库设计
  - 3.2 核心实现
- 4. OAuth 2.0授权码流程时序图
- 5. 使用示例
- - 5.1 初始化存储
  - 5.2 创建OAuth服务器
  - 5.3 实现授权端点
  - 5.4 实现客户端令牌端点
  - 5.5 Callback回调断点（code换access_token）
  - 完整流程
- 6. 总结

1. 项目概述

在上一篇文章中，我们详细介绍了OAuth 2.0的基本概念、授权流程以及各种授权模式的应用场景。本文将使用Go语言实现一个完整的OAuth 2.0认证服务器。

我们选择了github.com/openshift/osin这个成熟的OAuth 2.0框架作为基础，重点实现了其MySQL 来作为storage的驱动。osin提供了OAuth 2.0服务器的核心功能，但它的存储接口需要我们自己实现。通过实现MySQL存储，我们可以将OAuth 2.0的授权数据持久化到数据库中，使得服务更加可靠和可扩展。

本文的完整代码：oauth2

1.1 OAuth2 流程

让我们通过一个流程图来说明这些方法在 OAuth2 授权码模式中的位置：
在这里插入图片描述

2. OAuth 2.0 Storage接口解析

osin库中的Storage接口是实现OAuth 2.0服务器的核心，它定义了所有必要的存储操作。让我们详细解析每个方法在OAuth 2.0流程中的作用：

2.1 基础方法

Clone() Storage   // 克隆存储实例，用于处理并发访问
Close()          // 关闭存储连接，释放资源

2.2 客户端管理相关方法

   GetClient(id string) (Client, error)UpdateClient(c Client) errorCreateClient(c Client) errorRemoveClient(id string) error

这些方法负责OAuth客户端的CRUD操作：

GetClient: 根据客户端ID获取客户端信息，用于验证客户端身份
UpdateClient: 更新客户端信息
CreateClient: 创建新的客户端
RemoveClient: 删除指定客户端

2.3 授权码相关方法

   SaveAuthorize(data *AuthorizeData) errorLoadAuthorize(code string) (*AuthorizeData, error)RemoveAuthorize(code string) error

这些方法处理授权码授权流程：

SaveAuthorize: 保存授权码信息
LoadAuthorize: 验证授权码有效性
RemoveAuthorize: 使用后删除授权码

这组方法用于处理授权码的生命周期：

2.4 访问令牌相关方法

   SaveAccess(data *AccessData) errorLoadAccess(token string) (*AccessData, error)RemoveAccess(token string) error

这些方法处理访问令牌的生命周期：

SaveAccess: 保存访问令牌
LoadAccess: 验证访问令牌
RemoveAccess: 撤销访问令牌

访问令牌的生命周期管理：

在这里插入图片描述

2.5 刷新令牌相关方法

   LoadRefresh(token string) (*AccessData, error)RemoveRefresh(token string) error

这些方法处理刷新令牌：

LoadRefresh: 加载刷新令牌对应的访问令牌数据
RemoveRefresh: 删除刷新令牌

刷新令牌的处理流程：

在这里插入图片描述

2.6 方法调用时序

在完整的 OAuth2 流程中，这些方法的调用顺序如下：

在这里插入图片描述

2.7 关键注意点

原子性：
- SaveAuthorize 和 SaveAccess 操作需要保证原子性
- RemoveAuthorize 和 SaveAccess 通常需要在同一事务中执行
安全性：
- 所有存储的令牌数据应该加密
- 实现适当的过期机制
性能考虑：
- LoadAccess 方法会频繁调用，应考虑缓存
- Clone 方法对并发性能很重要
数据一致性：
- 确保授权码只能使用一次
- 正确处理令牌过期
- 维护刷新令牌与访问令牌的关联

3. MySQL存储实现原理

3.1 数据库设计

项目使用了两个主要的数据表：

CREATE TABLE client (id           varchar(255) NOT NULL PRIMARY KEY,secret       varchar(255) NOT NULL,extra        text,redirect_uri varchar(255) NOT NULL,created_at   timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP
)CREATE TABLE token (id            varchar(255) NOT NULL PRIMARY KEY,client_id     varchar(255) NOT NULL,type          varchar(20) NOT NULL,    access_token  varchar(255),            refresh_token varchar(255),            code          varchar(255),            expires_in    int NOT NULL,scope         varchar(255),redirect_uri  varchar(255) NOT NULL,state         varchar(255),extra         text,created_at    timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP,expires_at    timestamp NULL
)

3.2 核心实现

我们的MySQL存储实现主要包含以下特点：

使用go-zero框架的sqlx包进行数据库操作
实现了完整的事务支持
支持令牌过期检查
提供了表前缀支持，便于多租户场景

4. OAuth 2.0授权码流程时序图

在这里插入图片描述

5. 使用示例

5.1 初始化存储

func initStorage(svcCtx *svc.ServiceContext) *service.Storage {storage := service.NewStorage(svcCtx, "oauth2_")err := storage.CreateSchemas()if err != nil {panic(err)}return storage
}

5.2 创建OAuth服务器

// newOAuthServer 创建一个新的OAuth服务器实例
func newOAuthServer(svc *svc.ServiceContext) *osin.Server {config := osin.NewServerConfig()config.AllowedAuthorizeTypes = osin.AllowedAuthorizeType{osin.CODE}config.AllowedAccessTypes = osin.AllowedAccessType{osin.AUTHORIZATION_CODE,osin.REFRESH_TOKEN,}config.AuthorizationExpiration = 600 // 10分钟config.AccessExpiration = 3600       // 1小时config.AllowGetAccessRequest = trueconfig.ErrorStatusCode = 401storage := service.NewStorage(svc, "osin_")server := osin.NewServer(config, storage)return server
}

5.3 实现授权端点

func AuthorizeHandler(svc *svc.ServiceContext) http.HandlerFunc {return func(w http.ResponseWriter, r *http.Request) {server := newOAuthServer(svc)resp := server.NewResponse()defer resp.Close()if ar := server.HandleAuthorizeRequest(resp, r); ar != nil {// 验证客户端if ar.Client == nil {resp.SetError("unauthorized_client", "客户端未授权")osin.OutputJSON(resp, w, r)return}// 验证重定向URIif ar.RedirectUri == "" {resp.SetError("invalid_request", "缺少重定向URI")osin.OutputJSON(resp, w, r)return}ar.Authorized = true// 完成授权请求,这里只会返回授权码server.FinishAuthorizeRequest(resp, r, ar)// 如果没有错误,会重定向到客户端的redirect_uri,并带上授权码if !resp.IsError {resp.Type = osin.REDIRECT}}// 输出响应(可能是重定向或错误信息)osin.OutputJSON(resp, w, r)}
}

5.4 实现客户端令牌端点

func TokenHandler(svc *svc.ServiceContext) http.HandlerFunc {return func(w http.ResponseWriter, r *http.Request) {logger := logx.WithContext(r.Context())server := newOAuthServer(svc)resp := server.NewResponse()defer resp.Close()if ar := server.HandleAccessRequest(resp, r); ar != nil {// 验证客户端if ar.Client == nil {resp.SetError("unauthorized_client", "客户端未授权")osin.OutputJSON(resp, w, r)return}// 授权请求ar.Authorized = trueserver.FinishAccessRequest(resp, r, ar)}if resp.IsError {logger.Errorf("Token error: %v", resp.InternalError)} else {logger.Infof("Token granted: %s", resp.Output["access_token"])}osin.OutputJSON(resp, w, r)}
}

5.5 Callback回调断点（code换access_token）

func CallbackHandler(svc *svc.ServiceContext) http.HandlerFunc {return func(w http.ResponseWriter, r *http.Request) {// 获取授权码code := r.URL.Query().Get("code")if code == "" {// 检查是否有错误信息if error := r.URL.Query().Get("error"); error != "" {errorDesc := r.URL.Query().Get("error_description")http.Error(w, fmt.Sprintf("授权失败: %s - %s", error, errorDesc), http.StatusBadRequest)return}http.Error(w, "未收到授权码", http.StatusBadRequest)return}// 初始化 OAuth 服务器server := newOAuthServer(svc)// 先加载授权数据authData, err := server.Storage.LoadAuthorize(code)if err != nil {resp := server.NewResponse()resp.SetError("invalid_grant", "授权码无效或已过期")osin.OutputJSON(resp, w, r)return}// 创建访问令牌请求ar := &osin.AccessRequest{Type:            osin.AUTHORIZATION_CODE,Code:            code,Client:          authData.Client,RedirectUri:     authData.RedirectUri,Scope:           authData.Scope,GenerateRefresh: true,Authorized:      true,Expiration:      server.Config.AccessExpiration,}// 处理访问令牌请求resp := server.NewResponse()defer resp.Close()if err := server.Storage.RemoveAuthorize(code); err != nil {resp.SetError("server_error", "无法删除授权码")osin.OutputJSON(resp, w, r)return}server.FinishAccessRequest(resp, r, ar)if resp.IsError {osin.OutputJSON(resp, w, r)return}// API 请求则返回 JSONosin.OutputJSON(resp, w, r)}
}

完整流程

在这里插入图片描述

关键流程说明

授权码获取：
- 客户端首先访问/oauth/authorize端点获取授权码
- 服务器生成授权码并保存到数据库
授权码换取令牌：
- 客户端带着授权码访问/oauth/callback端点
- CallbackHandler负责验证授权码并换取访问令牌
- 这一步通常在实际应用中是由前端页面完成的，但在我们的实现中直接由后端处理
令牌生成流程：
- 验证授权码有效性
- 删除已使用的授权码（确保一次性使用）
- 生成访问令牌和刷新令牌
- 将令牌信息返回给客户端

6. 总结

本项目实现了一个完整的OAuth 2.0认证服务器，通过实现osin的Storage接口，提供了可靠的MySQL存储层。主要特点包括：

完整实现OAuth 2.0规范
可靠的MySQL存储实现
支持授权码和刷新令牌流程
完善的错误处理和安全机制
易于扩展和定制

通过这个实现，我们可以快速搭建起一个生产级别的OAuth 2.0认证服务器，为各类应用提供标准的身份认证服务。

Go语言实现OAuth 2.0认证服务器

文章目录 1. 项目概述1.1 OAuth2 流程 2. OAuth 2.0 Storage接口解析2.1 基础方法2.2 客户端管理相关方法2.3 授权码相关方法2.4 访问令牌相关方法2.5 刷新令牌相关方法 2.6 方法调用时序2.7 关键注意点3. MySQL存储实现原理3.1 数据库设计3.2 核心实现 4. OAuth 2.0授权码流程…...

编程日记 2025/8/23 15:21:02

【版本控制】idea中使用git

大家好，我是jstart千语。接下来继续对git的内容进行讲解。也是在开发中最常使用，最重要的部分，在idea中操作git。目录在右侧哦。如果需要git命令的详解： 【版本控制】git命令使用大全-CSDN博客一、配置git 要先关闭项目&#xf…...

编程日记 2025/8/23 15:21:01

永磁同步电机控制中，滑模观测器是基于反电动势观测转子速度和角度的？扩展卡尔曼滤波观测器是基于什么观测的？扩展卡尔曼滤波观测器也是基于反电动势吗？

滑模观测器在PMSM中的应用： 滑模观测器是一种非线性观测器，利用切换函数设计，使得状态估计误差迅速趋近于零，实现快速响应和对外部干扰的鲁棒性。在永磁同步电机（PMSM）无传感器控制中，滑模观测…...

编程日记 2025/8/19 6:13:35

十倍开发效率 - IDEA 插件之RestfulBox - API

提高效率不是为了完成更多的任务，而是有充足的时间摸鱼。快速体验 RestfulBox - API 是 IDEA 的插件，适合本地测试接口，完全不需要对项目进行任何以来。接口管理：支持接口扫描、浏览、搜索、跳转、导入和导出。支持接口请求&a…...

编程日记 2025/8/23 1:22:16

HTML、CSS 和 JavaScript 常见用法及使用规范

一、HTML 深度剖析 1. 文档类型声明 HTML 文档开头的 <!DOCTYPE html> 声明告知浏览器当前文档使用的是 HTML5 标准。它是文档的重要元信息，能确保浏览器以标准模式渲染页面，避免怪异模式下的兼容性问题。 2. 元数据标签 <meta> 标签&am…...

编程日记 2025/8/21 8:38:58

人工智能概念股投资：10大潜力标的深度研究

人工智能概念股投资：10大潜力标的深度研究一、人工智能概念股投资的基本概念人工智能（Artificial Intelligence，AI）是指利用计算机程序模拟人类智能的一种技术，通过对数据的分析和学习，实现类似人类思维和…...

编程日记 2025/8/22 21:43:28

centos部署的openstack发布windows虚拟机

‌CentOS上部署的OpenStack可以发布Windows虚拟机‌。在CentOS上部署OpenStack后，可以通过OpenStack平台创建和管理Windows虚拟机。以下是具体的步骤和注意事项： ‌安装和配置OpenStack‌： 首先，确保系统满足OpenStack的最低硬件…...

编程日记 2025/8/19 7:46:19

Fortran 中使用 C_LOC 和 C_F_POINTER 结合的方法来实现不同类型指针指向同一块内存区域

在 Fortran 中，可以使用 C_LOC 和 C_F_POINTER 结合的方法来实现不同类型指针指向同一块内存区域。以下是具体方法和示例： 关键步骤： 获取内存地址：用 C_LOC 获取原始数组的 C 地址。类型转换：用 C_F_POINTER 将地址转…...

编程日记 2025/8/21 5:42:32

两个 STM32G0 I2C 通信异常的案例分析

1. 案例一问题描述客户反馈其产品在使用 STM32G0C1NEY6TR 和一个充电管理 IC 通信时，速率为100KHz 时通信正常，但工作在 400KHz 时，有时会产生 I2C 错误。把 I2C GPIO 配置为推挽输出后产生错误的概率会下降。 2. 案例一问题确认针对客…...

编程日记 2025/8/20 15:26:14

尚硅谷-react[1-6集]

目录步骤 1. devlopment.js 2. react-dom.devopment.js 3. babel.min.js // 将jsx转为js体验 // 这个虚拟dom的内容不能够写引号,单引号双引号 const VDOM <h1>nihao react</h1> // 可以使用括号进行编写 const VDOM1 (<h1>nihao react</h1> )…...

编程日记 2025/8/21 4:26:07

树状数组简单介绍

树状数组简单介绍前言树状数组（Binary Indexed Tree）JavaScript 详细指南一、什么是树状数组？二、核心概念（前置知识）：lowbit 函数三、树状数组的实现1. 初始化树状数组2. 使用示例四、详细原理解释1. 树…...

编程日记 2025/8/22 23:12:47

使用Redis实现分布式限流

一、限流场景与算法选择 1.1 为什么需要分布式限流在高并发系统中，API接口的突发流量可能导致服务雪崩。传统的单机限流方案在分布式环境下存在局限，需要借助Redis等中间件实现集群级流量控制。 1.2 令牌桶算法优势允许突发流量：稳定速…...

编程日记 2025/8/23 7:15:13

【MySQL学习】存储过程

目录一、定义二、基本语法 1.创建存储过程 2.删除存储过程 3.查看存储过程三、控制语句 1.变量声明与赋值四、游标（Cursor） （1）声明游标 （2）处理游标结束 （3）打开游标 …...

编程日记 2025/8/20 12:40:41

Bp靶场 - Jwt

你知道JWT漏洞如何进行攻击利用吗？快来看一看如何利用JWT漏洞进行攻击利用把！https://mp.weixin.qq.com/s/2iBIEGnkiliprsuHyY5Udg...

编程日记 2025/8/23 15:20:10

手机上的APN是什么，该怎么设置

网上说改个APN就可以让网速快几倍，那到底APN是个什么东西，真的能让网速快几倍吗？ APN的作用网络连接基础：APN（接入点名称）是手机连接移动网络的“桥梁”，负责识别运营商网络类型（…...

编程日记 2025/8/19 8:02:30

[bug]langchain agent报错Invalid Format: Missing ‘Action Input:‘ after ‘Action:‘

在学习langchain的agent时候，采用ollama调用本地的deepseek-r1:32b来做一个agent，代码如下： def create_custom_agent():llm ChatOllama(model"deepseek-r1:32b", temperature0.5)memory ConversationBufferWindowMemory(memory…...

编程日记 2025/8/23 1:04:53

blender关联复制与Three.js网格和材质共享验证

blender和three.js小白的学习之路。最近看到Three.js官网上说，模型合并是一个很好的优化性能的方式，因为渲染2000个物体总要比一次性渲染一个模型要来的慢。很有道理！ 但此时就不禁思考一个问题，现有的模型进行合并通过blender…...

编程日记 2025/8/17 20:52:01

Spark宽窄依赖与Join优化：协同划分与非协同划分的底层逻辑

在大数据领域，Spark的性能优化始终是开发者关注的焦点。理解宽依赖（Wide Dependency）和窄依赖（Narrow Dependency）的底层原理，能够帮助我们从根本上优化Join操作的性能。本文将通过这两个核心概念&#xff…...

编程日记 2025/8/19 8:31:51

每日算法-250416

今天我们来探讨两道可以通过贪心算法解决的 LeetCode 题目。什么是贪心算法？ 贪心算法（Greedy Algorithm）是一种在每一步选择中都采取在当前状态下最好或最优（即最有利）的选择，从而希望导致结果是全局最…...

编程日记 2025/8/23 13:05:19

python爬虫降低IP封禁，python爬虫除了使用代理IP和降低请求频率，还有哪些方法可以应对IP封禁？

文章目录前言1. 利用 CDN 节点2. 模拟真实用户行为3. 使用 IP 池轮换策略4. 处理 Cookie 和会话信息5. 分布式爬虫前言除了使用代理 IP 和降低请求频率，以下这些方法也能应对 IP 封禁： Python 3.13.2安装教程（附安装包）Python…...

编程日记 2025/8/23 15:21:02

NLP高频面试题（四十五）——PPO 算法在 RLHF 中的原理与实现详解

近端策略优化（Proximal Policy Optimization, PPO）算法是强化学习领域的一种新颖且高效的策略优化方法，在近年大规模语言模型的人类反馈强化学习（Reinforcement Learning with Human Feedback, RLHF）中发挥了关键作用。本文将以学术严谨的风格，详细阐述 PPO 算法的原理及…...

编程日记 2025/8/18 13:46:50

读取csv def read_file(file_path):data []label []with open(file_path, "r", encoding"utf-8") as file:reader csv.reader(file)next(reader) # 跳过标题行for row in reader:if len(row) < 2:print(f"跳过不完整行: {row}")continue…...

编程日记 2025/8/21 2:37:52

ubuntu20.04 Android14编译环境配置

ubuntu 更新和必要安装 sudo apt update sudo apt install git sudo apt install python2-minimal sudo update-alternatives --install /usr/bin/python python /usr/bin/python2 1 sudo update-alternatives --install /usr/bin/python python /usr/bin/python3 2 sudo upda…...

编程日记 2025/8/23 15:20:11

文章目录

1. 项目概述

1.1 OAuth2 流程

2. OAuth 2.0 Storage接口解析

2.1 基础方法

2.2 客户端管理相关方法

2.3 授权码相关方法

2.4 访问令牌相关方法

2.5 刷新令牌相关方法

2.6 方法调用时序

2.7 关键注意点

3. MySQL存储实现原理

3.1 数据库设计

3.2 核心实现

4. OAuth 2.0授权码流程时序图

5. 使用示例

5.1 初始化存储

5.2 创建OAuth服务器

5.3 实现授权端点

5.4 实现客户端令牌端点

5.5 Callback回调断点（code换access_token）

完整流程

6. 总结

相关文章：