Golang实现更安全的HTTP基本认证(Basic Authentication)

这篇具有很好参考价值的文章主要介绍了Golang实现更安全的HTTP基本认证(Basic Authentication)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

当搜索使用Go的HTTP基本身份验证示例时,我能找到的每个结果都不幸包含了过时的代码(即不使用Go1.4中引入的r.BasicAuth()功能)或不能防止定时攻击。本文介绍如何实现更安全的HTTP基本认证代码。

了解基本认证

你一定遇到,当通过浏览器访问一些URL时提示输入用户名和密码。再你输入用户名和密码后,浏览器发送包含Authorization头信息的HTTP请求至服务端,类似这样:

Authorization: Basic YWxpY2U6cGE1NXdvcmQ=

Authorization头信息包括值为:Basic,后面跟上username:password 格式的用户名和密码的base64编码值,上面示例内容为alice:pa55word的编码值。

当服务端接收到该请求,从Authorization头信息中解码出用户和密码,然后比较是否有效。如果凭证不正确返回401 Unauthorized响应,然后浏览器重新返回提示输入用户名和密码。

基本认证可用于多种场景,但想要快速简单地保护低价值资源不受窥探时,它通常非常适合。为了更安全包含资源,还应该需要下列几种措施:

  • 使用HTTPS连接。如果不使用HTTPS,Authorization头信息可能被攻击者截获并解码,从使用凭证获取受保护资源。
  • 使用强密码。强密码含难被攻击者猜到或暴力破解。
  • 增加频率限制。避免攻击者采用暴力破解方式进行攻击。

另外,大多数编程语言和命令行工具(如curl和wget)以及web浏览器都支持基本的身份验证。

保护WEB应用

最简单保护应用的方式是创建一些中间件,主要实现三个方面内容:

  • 如果存在Authorization头信息,从中抽取用户名和密码。最简单可以通过Go1.4引入的r.BasicAuth() 方法实现。
  • 与期望正确的用户名和密码进行比较。为了避免时间攻击风险,应该使用subtle.ConstantTimeCompare()进行比较。

大多数语言使用==比较符两个字符串是否相等,如果第一个字符不同则直接返回。理论上这存在时间攻击的机会,对于大量请求比较平均响应时间的差异,从而猜测有多少字符已经正确,通过不断增加尝试次数,就可能获得正确的用户名和密码。为了避免时间攻击,我们使用subtle.ConstantTimeCompare()方法进行比较。

  • 如果用户名和密码不正确或请求不包含Authorization头信息,中间件应该发送401 Unauthorized响应并设置WWW-Authenticate头,通知客户端应该使用基本认证进行访问。否则中间件应该容许请求被处理并调用下一个处理器。

根据上面的阐述,中间件实现代码类似下面代码:

func basicAuth(next http.HandlerFunc) http.HandlerFunc {
	return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
        // 从请求头中出去用户和密码,如果认证请求头不存在或值无效,则ok为false
		username, password, ok := r.BasicAuth()
		if ok {
            // SHA-256算法计算用户名和密码
			usernameHash := sha256.Sum256([]byte(username))
			passwordHash := sha256.Sum256([]byte(password))
			expectedUsernameHash := sha256.Sum256([]byte("your expected username"))
			expectedPasswordHash := sha256.Sum256([]byte("your expected password"))


            // subtle.ConstantTimeCompare() 函数检查用户名和密码,相等返回1,否则返回0;
            // 重要的是先进行hash使得两者长度相等,从而避免泄露信息。
			usernameMatch := (subtle.ConstantTimeCompare(usernameHash[:], expectedUsernameHash[:]) == 1)
			passwordMatch := (subtle.ConstantTimeCompare(passwordHash[:], expectedPasswordHash[:]) == 1)

            // 如果比较结果正确,调用下一个处理器。
            // 最后调用return,为了让后面代码不被执行
			if usernameMatch && passwordMatch {
				next.ServeHTTP(w, r)
				return
			}
		}

        // If the Authentication header is not present, is invalid, or the
        // username or password is wrong, then set a WWW-Authenticate 
        // header to inform the client that we expect them to use basic
        // authentication and send a 401 Unauthorized response.
        // 如果认证头不存在或无效,亦或凭证不正确,
        // 则需要设置WWW-Authenticate头信息并发送401未认证响应,为了通知客户端使用基本认证
		w.Header().Set("WWW-Authenticate", `Basic realm="restricted", charset="UTF-8"`)
		http.Error(w, "Unauthorized", http.StatusUnauthorized)
	})
}

上面代码使用sha256对用户名和密码进行哈希,并不是为了存储,而是为了获得等长字符串,使得比较时间为常量,降低碰撞风险。

您可能想问这里的realm是什么,以及为什么我们在WWW-Authenticate响应标头中将其设置为“restricted”。realm值用于创建应用中受保护的空间。举例,应用有文档域或管理域,分别需要不同的凭证。web浏览器会针对相同域的用户名和密码进行缓存,避免每次请求都需要提示认证。

如果应用不需要多个域,可以设置realm值为固定值restricted。为了安全性和灵活性,一般将预期用户名和密码值存储在环境变量中,或者在启动应用程序时将它们作为命令行标志值传入,而不是将它们硬编码到应用程序中。

完整示例

下面看一个小型、功能完整的WEB应用示例。创建目录,然后增加main.go文件,初始化模块并使用mkcert工具创建本地信任证书:

$:~/gowork$ mkdir basic-auth-example            
$:~/gowork$ cd basic-auth-example/
$:~/gowork/basic-auth-example$ touch main.go
$:~/gowork/basic-auth-example$ go mod init basic-auth-example
go: creating new go.mod: module basic-auth-example
go: to add module requirements and sums:
	go mod tidy
$:~/gowork/basic-auth-example$ mkcert localhost
Note: the local CA is not installed in the system trust store.
Note: the local CA is not installed in the Firefox and/or Chrome/Chromium trust store.
Run "mkcert -install" for certificates to be trusted automatically ⚠️

Created a new certificate valid for the following names 📜
 - "localhost"

The certificate is at "./localhost.pem" and the key at "./localhost-key.pem" ✅

It will expire on 10 July 2025 🗓

$:~/gowork/basic-auth-example$ ls
go.mod  localhost-key.pem  localhost.pem  main.go

在main.go文件增加下面代码,期望的用户名和密码从环境变量中获取,和前文描述内容一致,使用中间件方式进行基本认证。

package main

import (
	"crypto/sha256"
	"crypto/subtle"
	"fmt"
	"log"
	"net/http"
	"os"
	"time"
)

type application struct {
	auth struct {
		username string
		password string
	}
}

func main() {
	app := new(application)

	// 从环境变量获取期望用户名和密码
	app.auth.username = os.Getenv("AUTH_USERNAME")
	app.auth.password = os.Getenv("AUTH_PASSWORD")

	if app.auth.username == "" {
		log.Fatal("basic auth username must be provided")
	}

	if app.auth.password == "" {
		log.Fatal("basic auth password must be provided")
	}

	// 创建HTTP服务器
	mux := http.NewServeMux()
	mux.HandleFunc("/unprotected", app.unprotectedHandler)
	mux.HandleFunc("/protected", app.basicAuth(app.protectedHandler))

	srv := &http.Server{
		Addr:         ":4000",
		Handler:      mux,
		IdleTimeout:  time.Minute,
		ReadTimeout:  10 * time.Second,
		WriteTimeout: 30 * time.Second,
	}

	log.Printf("starting server on %s", srv.Addr)
	err := srv.ListenAndServeTLS("./localhost.pem", "./localhost-key.pem")
	log.Fatal(err)
}

// 保护资源处理器
func (app *application) protectedHandler(w http.ResponseWriter, r *http.Request) {
	fmt.Fprintln(w, "This is the protected handler")
}

// 未保护资源处理器
func (app *application) unprotectedHandler(w http.ResponseWriter, r *http.Request) {
	fmt.Fprintln(w, "This is the unprotected handler")
}

// 基本认证中间件模式
func (app *application) basicAuth(next http.HandlerFunc) http.HandlerFunc {
	return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
		username, password, ok := r.BasicAuth()
		if ok {
			usernameHash := sha256.Sum256([]byte(username))
			passwordHash := sha256.Sum256([]byte(password))
			expectedUsernameHash := sha256.Sum256([]byte(app.auth.username))
			expectedPasswordHash := sha256.Sum256([]byte(app.auth.password))

			usernameMatch := (subtle.ConstantTimeCompare(usernameHash[:], expectedUsernameHash[:]) == 1)
			passwordMatch := (subtle.ConstantTimeCompare(passwordHash[:], expectedPasswordHash[:]) == 1)

			if usernameMatch && passwordMatch {
				next.ServeHTTP(w, r)
				return
			}
		}

		w.Header().Set("WWW-Authenticate", `Basic realm="restricted", charset="UTF-8"`)
		http.Error(w, "Unauthorized", http.StatusUnauthorized)
	})
}

现状使用临时一对环境变量启动应用:

AUTH_USERNAME=alice AUTH_PASSWORD=p8fnxeqj5a7zbrqp go run .
2023/04/10 11:38:00 starting server on :4000

curl访问

这时访问url:https://localhost:4000/protected,浏览器弹出提示认证表单。当然我们也可以通过curl验证认证是否正常工作。

$:~/Downloads$ curl -i https://localhost:4000/unprotected -k
HTTP/2 200 
content-type: text/plain; charset=utf-8
content-length: 32
date: Mon, 10 Apr 2023 05:42:52 GMT

This is the unprotected handler
$:~/Downloads$ curl -i https://localhost:4000/protected -k
HTTP/2 401 
content-type: text/plain; charset=utf-8
www-authenticate: Basic realm="restricted", charset="UTF-8"
x-content-type-options: nosniff
content-length: 13
date: Mon, 10 Apr 2023 05:44:25 GMT

Unauthorized
$:~/Downloads$ curl -i -u alice:p8fnxeqj5a7zbrqp https://localhost:4000/protected -k
HTTP/2 200 
content-type: text/plain; charset=utf-8
content-length: 30
date: Mon, 10 Apr 2023 05:44:47 GMT

This is the protected handler
$:~/Downloads$ curl -i -u alice:wrongPa55word https://localhost:4000/protected -k
HTTP/2 401 
content-type: text/plain; charset=utf-8
www-authenticate: Basic realm="restricted", charset="UTF-8"
x-content-type-options: nosniff
content-length: 13
date: Mon, 10 Apr 2023 05:45:03 GMT

Unauthorized

Go 客户端访问

最后,我们也可以通过go直接访问受保护资源。需要在请求上调用 req.SetBasicAuth("alice", "p8fnxeqj5a7zbrqp") 方法,代码如下:

package main

import (
    "fmt"
    "io"
    "log"
    "net/http"
    "time"
)

func main() {
    client := http.Client{Timeout: 5 * time.Second}

    req, err := http.NewRequest(http.MethodGet, "https://localhost:4000/protected", http.NoBody)
    if err != nil {
        log.Fatal(err)
    }

    req.SetBasicAuth("alice", "p8fnxeqj5a7zbrqp")

    res, err := client.Do(req)
    if err != nil {
        log.Fatal(err)
    }

    defer res.Body.Close()

    resBody, err := io.ReadAll(res.Body)
    if err != nil {
        log.Fatal(err)
    }

    fmt.Printf("Status: %d\n", res.StatusCode)
    fmt.Printf("Body: %s\n", string(resBody))
}    

总结

本文介绍了Go如何实现安全http基本认证,首先介绍原理,后面给出详细实现过程,最后通过curl和GO http客户端进行验证。详细内容参考:https://www.alexedwards.net/blog/basic-authentication-in-go文章来源地址https://www.toymoban.com/news/detail-496509.html

到了这里,关于Golang实现更安全的HTTP基本认证(Basic Authentication)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • HTTP API 认证技术详解(四):HMAC Authentication

    目录 什么是 HMAC Authentication 认证 HMAC Authentication 原理 HMAC Authentication 认证的步骤 使用 Golang 实现 HMAC Authentication 认证 HMAC Authentication 认证的安全性 HMAC 认证的最佳实践 小结 HTTP API 认证技术主要用于验证客户端身份,并确保只有经过授权的实体才能访问受保护的资源。随着安

    2024年01月18日
    浏览(32)
  • HTTP API 认证技术详解(二):Digest Access Authentication

    目录 什么是 Digest Access Authentication 认证 Digest Access Authentication 认证的原理 Digest Access Authentication 认证的安全性 使用 Golang 实现 Digest Access Authentication 使用建议 小结 HTTP API 认证技术主要用于验证客户端身份,并确保只有经过授权的实体才能访问受保护的资源。随着安全需求的

    2024年02月01日
    浏览(53)
  • HTTP API 认证技术详解(五):Token-based Authentication

    目录 什么是 Token-based Authentication 认证 Token-based Authentication 认证的特点 Token-based Authentication 认证的流程 安全考虑 关于 JWT  小结 HTTP API 认证技术主要用于验证客户端身份,并确保只有经过授权的实体才能访问受保护的资源。随着安全需求的日益增长,API 认证技术也在不断发

    2024年01月25日
    浏览(49)
  • Golang每日一练(leetDay0081) 基本计算器I\II Basic Calculator

    目录 224. 基本计算器 Basic Calculator  🌟🌟🌟 227. 基本计算器 II Basic Calculator  🌟🌟 🌟 每日一练刷题专栏 🌟 Rust每日一练 专栏 Golang每日一练 专栏 Python每日一练 专栏 C/C++每日一练 专栏 Java每日一练 专栏 给你一个字符串表达式  s  ,请你实现一个基本计算器来计算并返

    2024年02月07日
    浏览(37)
  • HTTP通讯安全中的Digest摘要认证释义与实现

    出于安全考虑,HTTP规范定义了几种认证方式以对访问者身份进行鉴权,最常见的认证方式之一是Digest认证         HTTP通讯采用人类可阅读的文本格式进行数据通讯,其内容非常容易被解读。出于安全考虑,HTTP规范定义了几种认证方式以对访问者身份进行鉴权,最常见的

    2024年02月06日
    浏览(39)
  • [golang]使用mTLS双向加密认证http通信

    假设一个场景,服务端部署在内网,客户端需要通过暴露在公网的nginx与服务端进行通信。为了避免在公网进行 http 明文通信造成的信息泄露,nginx与客户端之间的通信应当使用 https 协议,并且nginx也要验证客户端的身份,也就是mTLS双向加密认证通信。 这条通信链路有三个角

    2024年02月14日
    浏览(40)
  • Django DRF - 认证Authentication

    身份验证是将传入请求与一组标识凭据(例如,请求来自的用户或与其进行签名的令牌)相关联的机制。然后,权限和限制策略可以使用这些凭据来确定是否应允许该请求。 身份验证本身不会允许或不允许传入的请求,它只会标识发出请求的凭据。 认证管理一般和权限管理

    2023年04月12日
    浏览(35)
  • [ web基础篇 ] Burp Suite 爆破 Basic 认证密码

    👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋 🙏作者水平有

    2024年02月03日
    浏览(43)
  • Nginx进阶 配置-Nginx auth_basic 身份认证

    在公司前期投入研发时,尤其针对于ZF的客户,往往是很多需求含糊不清,可项目的里程碑节点已是板上定钉。在这种情况下,需求组应和研发组协同推敲,不断的制定计划、出demo,拿着我们推测出的构建想法及原型去征求客户的意见。 对于大屏、驾驶舱等可以前端先行的项

    2024年02月12日
    浏览(35)
  • 基于密码的认证:现代网络安全中的基本组成部分

    作者:禅与计算机程序设计艺术 在互联网时代,人们越来越依赖于计算机和互联网设备进行各种事务性工作,特别是在金融、电子商务、银行等领域,越来越多的人开始重视信息安全。信息安全的第一道防线就是网络安全,网络安全的保障和维持取决于很多方面,其中最基础

    2024年02月06日
    浏览(35)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包