Edited at

Go - gRPC での認証・認可を Interceptor を使って実装する

More than 1 year has passed since last update.


tl;dr


  • すべての RPC に共通する処理には gRPC Interceptor を利用する

  • 認証 Interceptor はすべての RPC で同じ処理を行って、認可 Interceptor は gRPC サービスごとに別の処理を行えるようにする

  • 認証に使う Authorization 値は Metadata として送信する

  • 複数の Interceptor をまとめて書くには go-grpc-middleware の chain を使う

  • ここでは簡単のため Unary RPC を前提にまとめる


gRPC Interceptor

gRPC サーバーはオプションとして UnaryServerInterceptor 型を渡すことができる。UnaryServerInterceptor 型はすべての RPC の実行前後に処理のフックを追加することができるので、いわゆるミドルウェアを実装するために使える。

// UnaryServerInterceptor provides a hook to intercept the execution of a unary RPC on the server. info

// contains all the information of this RPC the interceptor can operate on. And handler is the wrapper
// of the service method implementation. It is the responsibility of the interceptor to invoke handler
// to complete the RPC.
type UnaryServerInterceptor func(ctx context.Context, req interface{}, info *UnaryServerInfo, handler UnaryHandler) (resp interface{}, err error)


認証 Interceptor

認証 Interceptor ではユーザーの Authorization 値が適切かを確認したいとする。すべての RPC で共通する処理として実装する。Authorization 値はすべての RPC に共通するので Metadata としてやり取りすると良い。

package grpcauthentication

import (
"context"

"google.golang.org/grpc"
"google.golang.org/grpc/codes"
"google.golang.org/grpc/status"
)

// DefaultAuthenticateFunc はすべてのサービスに共通する認証処理を行う関数を表す。
type DefaultAuthenticateFunc func(ctx context.Context) (context.Context, error)

// UnaryServerInterceptor はリクエストごとの認証処理を行う、unary サーバーインターセプターを返す。
func UnaryServerInterceptor(authFunc DefaultAuthenticateFunc) grpc.UnaryServerInterceptor {
return func(ctx context.Context, req interface{}, info *grpc.UnaryServerInfo, handler grpc.UnaryHandler) (interface{}, error) {
newCtx, err := authFunc(ctx)
if err != nil {
return nil, status.Error(codes.Unauthenticated, err.Error())
}
return handler(newCtx, req)
}
}

package meta

import (
"fmt"

"golang.org/x/net/context"
"google.golang.org/grpc/metadata"
)

const (
// AuthorizationKey は認証トークンに対応するキーを表す
AuthorizationKey = "authorization"
)

// Authorization は gRPC メタデータからユーザー認証トークンを取得する
func Authorization(ctx context.Context) (string, error) {
return fromMeta(ctx, AuthorizationKey)
}

func fromMeta(ctx context.Context, key string) (string, error) {
md, ok := metadata.FromIncomingContext(ctx)
if !ok {
return "", fmt.Errorf("not found metadata")
}
vs := md[key]
if len(vs) == 0 {
return "", fmt.Errorf("not found %s in metadata", key)
}
return vs[0], nil
}

package main

import (
"context"

"github.com/path/to/meta"
"github.com/path/to/interceptor/grpcauthentication"

"google.golang.org/grpc"
)

func defaultAuthentication() grpcauthentication.AuthFunc {
return func(ctx context.Context) (context.Context, error) {
authorization, err := meta.Authorization(ctx)
if err != nil {
return nil, err
}

err := verify(authorization)
if err != nil {
return nil, err
}

return ctx, nil
}
}

func main() {
grpcServer := grpc.NewServer(
grpc.UnaryInterceptor(grpcauthentication.UnaryServerInterceptor(defaultAuthentication())),
)
...
}


認可 Interceptor

認可 Interceptor ではサービスや RPC ごとにそのユーザーに権限があるかどうかを確認したいとする。例えば user サービスで提供する RPC ではサービス停止していないかだけを確認したいが、admin サービスで提供する RPC では管理者権限を持っているかどうかを確認したい。

サービスごとに認可処理を行えるように、各サービスは ServiceAuthorize インターフェースを実装する必要がある。

package grpcauthorization

import (
"context"

"google.golang.org/grpc"
"google.golang.org/grpc/codes"
"google.golang.org/grpc/status"
)

// ServiceAuthorize はサービスごとの認可を行う関数を実装するインターフェースを表す。
type ServiceAuthorize interface {
Authorize(context.Context, string) error
}

// UnaryServerInterceptor はリクエストごとの認可を行う、unary サーバーインターセプターを返す。
func UnaryServerInterceptor() grpc.UnaryServerInterceptor {
return func(ctx context.Context, req interface{}, info *grpc.UnaryServerInfo, handler grpc.UnaryHandler) (interface{}, error) {
var err error
if srv, ok := info.Server.(ServiceAuthorize); ok {
err = srv.Authorize(ctx, info.FullMethod)
} else {
return nil, fmt.Errorf("each service should implement an authorization")
}
if err != nil {
return nil, status.Error(codes.PermissionDenied, err.Error())
}
return handler(ctx, req)
}
}

package userservice

import (
"context"
)

// Authorize はユーザーの認可を行う。
func (*UserService) Authorize(ctx context.Context, fullMethodName string) error {
switch fullMethodName {
// 以下の RPC メソッドはすべてのユーザーが行うことができるメソッドなので無条件に許可する {
case
"/userpb.UserService/ReportTrouble":
return nil
// }
default:
return userAuthFunc(ctx)
}
}

package adminservice

import (
"context"
)

// Authorize はユーザーの認可を行う。
func (*AdminService) Authorize(ctx context.Context, fullMethodName string) error {
return adminAuthFunc(ctx)
}

package main

import (
"context"

"github.com/path/to/interceptor/grpcauthorization"

"google.golang.org/grpc"
)

func main() {
grpcServer := grpc.NewServer(
grpc.UnaryInterceptor(grpcauthorization.UnaryServerInterceptor()),
)
...
}


複数の Interceptor をまとめる

https://github.com/grpc-ecosystem/go-grpc-middleware には色々な interceptor 実装がまとまっている。その中にある chain を使うと複数の Interceptor を以下のように書ける。

grpcServer := grpc.NewServer(

grpc.UnaryInterceptor(grpc_middleware.ChainUnaryServer(
grpcauthentication.UnaryServerInterceptor(defaultAuthentication()),
grpcauthorization.UnaryServerInterceptor(),
)),
)


まとめ

grpc サーバーとサービスを合わせたときの記述は次のようになる。

func main() {

grpcServer := grpc.NewServer(
grpc.UnaryInterceptor(grpc_middleware.ChainUnaryServer(
grpcauthentication.UnaryServerInterceptor(defaultAuthentication()),
grpcauthorization.UnaryServerInterceptor(),
)),
)

usersv := userservice.NewUserService()
adminsv := adminservice.NewAdminService()
userpb.RegisterUserServiceServer(grpcServer, usersv)
adminpb.RegisterAdminServiceServer(grpcServer, adminsv)
...
}