Как реализовать хранение токена в Web-App на GoLang?

Question

[Александр Шестак]

Есть полностью готовый сайт и апишка. API на FastAPI (python), БД Postgre, сам сайт на Go.

У него готов весь функционал, кроме функционала отображения полей. Ну например есть профиль пользователя и там должно отображаться имя пользователя.

Сделать это не сложно, но есть проблема.

Ради интереса, я решил не использовать JWT, OAuth и другие стандартные типы авторизации. Я замутил собственный токен. Доступ к командам предоставляются только по нему. При вызове реквеста /auth из API ответом будет сам токен.

Как и куда можно сохранить этот токен, в рамках одной сессий пользователя? Чтобы Go всегда знал, куда обратиться чтобы получить токен и я мог регулярно его использовать?

Comments

[Максим Федоров]

Вы плохое решение придумали с постоянным токеном... Тк его перехватить можно
Тк у вас с токеном работает приложение, то и храните токен в приложении (в приложениях таким место является БД)

Как — положите в таблицу юзера токен... достаете его и идете в АПИ, если абортнуло – отправляете юзера на страницу входа, при входе в роут auth — yовый токен, обновили в тиблице...

Если без oauth, то как вы на фронте контролируете юзера между запросами? Через сессию?

[Александр Шестак]

Максим Федоров, В БД он хранится, вопрос именно в реализации для Go.

Ну, у меня есть условный хэндлер, который вызывается при аутентификации. В случае успеха, он возвращает мне токен. Но как теперь этот возвращённый токен использовать в других функциях?

И если никак, то как обычно реализуется система аутентификации? Не нашёл полезных статей на эту тему связанную с Go

[Максим Федоров]

Александр Шестак, я понял
на го у вас отдается html как в старые добрые времена? не SPA?

НУ смотрите — пришел логиниться юзер, вы:
- в хэндлере пошли в АПИ, получили токен ..
- создали сессию (например в памяти или редисе)
- в куку сохранили токен юзера и отдали response

- юзер пошел в кабинет, пришел к вам на бекенд гошки, вы првоерили сессию, если нет в сессии нет юзера — отправили ошибку6 если есть значение — взяли токен из сессии и пошли в АПИ за данными

import (
    "fmt"
    "net/http"

    "github.com/gorilla/sessions"
)

var (
    // key must be 16, 24 or 32 bytes long (AES-128, AES-192 or AES-256)
    key = []byte("super-secret-key")
    store = sessions.NewCookieStore(key)
)

func secret(w http.ResponseWriter, r *http.Request) {
    session, _ := store.Get(r, "cookie-name")

    // Check if user is authenticated
    if auth, ok := session.Values["authenticated"].(bool); !ok || !auth {
        http.Error(w, "Forbidden", http.StatusForbidden)
        return
    }

    // Тут из сессии получили токен — пошли в АПИ за данными
    fmt.Fprintln(w, "The cake is a lie!")
}

[Александр Шестак]

Максим Федоров, В подобных делах я новичок, поэтому для меня даже подобные знания крайне цены, ибо обычно про них либо рассказывают мельком, либо не рассказывают вовсе.

Спасибо большое за ваш ответ, именно то, что я и хотел!

[darst]

Дополню ответ. Это только при первом входе. Если так дальше будете проверять, то это будет ошибкой. Потому что можно придумать любой код для токена и тогда вы впускаете любого клиента без авторизации. Вам нужно добавить какой-нибудь кеш, например map[string]struct{}, для записи туда токена авторизованных клиентов и в дальнейшем сверять, что они он есть там.

Answer 1

[Александр Шестак]

Цитируя Максим Федоров :

Пришел логиниться юзер, вы:
- в хэндлере пошли в АПИ, получили токен ..
- создали сессию (например в памяти или редисе)
- в куку сохранили токен юзера и отдали response

- юзер пошел в кабинет, пришел к вам на бекенд гошки, вы првоерили сессию, если нет в сессии нет юзера — отправили ошибку6 если есть значение — взяли токен из сессии и пошли в АПИ за данными

import (
    "fmt"
    "net/http"

    "github.com/gorilla/sessions"
)

var (
    // key must be 16, 24 or 32 bytes long (AES-128, AES-192 or AES-256)
    key = []byte("super-secret-key")
    store = sessions.NewCookieStore(key)
)

func secret(w http.ResponseWriter, r *http.Request) {
    session, _ := store.Get(r, "cookie-name")

    // Check if user is authenticated
    if auth, ok := session.Values["authenticated"].(bool); !ok || !auth {
        http.Error(w, "Forbidden", http.StatusForbidden)
        return
    }

    // Тут из сессии получили токен — пошли в АПИ за данными
    fmt.Fprintln(w, "The cake is a lie!")
}