Golang Gin Middleware
dvwright/xss-mw: XssMw is an middleware designed to "auto remove XSS" from user submitted input
gin-gonic/autotls: Support Let's Encrypt for a Go server application.
sipt/faygo-security: gin security middleware
用于验证接口请求完整性,对请求的所有KV(除媒体文件)以及时间戳timestamp和随机字符串nonce,进行大小写排序,用&、=相连,最后连接上key=secret,进行MD5。服务端对此进行验证。
对请求中的timestamp和nonce进行验证,timestamp和nonce唯一标识一个请求,当出现请求重复时,认为是请求重放攻击,可以自行处理,如:下次发起请求时必须带有验证码。当timestamp超出了预设时间,如60s,就返回错误信息并且带上服务器当前时间(RFC 3339),再次请求,超过指定次数就要求携带验证码
abrander/ginproxy: A very simple proxy handler for gin-gonic
这是基准应用程序:
package main
import(
"github.com/gin-gonic/gin"
)
func GetDummyEndpoint(c *gin.Context) {
resp := map[string]string{"hello":"world"}
c.JSON(200, resp)
}
func main() {
api := gin.Default()
api.GET("/dummy", GetDummyEndpoint)
api.Run(":5000")
}
现在,让我们添加一些中间件:
func DummyMiddleware(c *gin.Context) {
fmt.Println("Im a dummy!")
// Pass on to the next-in-chain
c.Next()
}
func main() {
// Insert this middleware definition before any routes
api.Use(DummyMiddleware)
// ... more code
}
在上面的例子中调用了c.Next(),这意味着在我们的中间件完成执行后,我们可以将请求处理程序传递给链中的下一个func。正如你看到的,中间件功能与常规端点功能没有区别,因为它们只有一个参数gin.Context。但是,还有另一种定义中间件*功能的方式,就像这样:
func DummyMiddleware() gin.HandlerFunc {
// Do some initialization logic here
// Foo()
return func(c *gin.Context) {
c.Next()
}
}
func main() {
// ...
api.Use(DummyMiddleware())
// ...
}
这两种定义中间件功能的方式之间的区别在于,您可以在稍后的示例中执行一些初始化逻辑。假设你需要从第三方服务中获取一些数据,但是你不能在每个请求的基础上这样做。当中间件 被加载到请求链中时,无论您在return语句之前定义的内容(Foo()例如)将只执行一次。如果您想要进行条件检查,比如返回一个中间件函数(如果存在一个头)或者另一个中间件函数(如果不存在),这可能很有用。让我们来看看例子!
Api认证中间件
如果你正在用杜松子建立一个API ,你可能会想在你的应用程序中添加一些认证机制。最简单的解决方案是检查客户端是否提供了额外的url参数,如api_token。然后,应该在每个请求之前对其进行验证。
func respondWithError(code, message, *gin.Context) {
resp := map[string]string{"error": message}
c.JSON(code, resp)
c.Abort(code)
}
func TokenAuthMiddleware() gin.HandlerFunc {
return func(c *gin.Context) {
token := c.Request.FormValue("api_token")
if token == "" {
respondWithError(401, "API token required", c)
return
}
if token != os.Getenv("API_TOKEN") {
respondWithError(401, "Invalid API token", c)
return
}
c.Next()
}
}
上面的例子将检查api_token每个请求中是否存在参数,并根据定义为API_TOKEN环境变量的值对其进行验证。重要的部分是如果你需要终止请求链,你可以调用c.Abort。这将防止任何其他处理程序执行。
代码修改中间件
这种类型的中间件通常会在请求响应中插入特殊的头文件,以提供有关运行应用程序的git提交的一些信息。在Ruby世界中,git sha通常存储在由capistrano或其他部署工具创建的版本目录中REVISION或存储在COMMIT文件中。事实上,我为此创建了机架中间件。
func RevisionMiddleware() gin.HandlerFunc {
// Revision file contents will be only loaded once per process
data, err := ioutil.ReadFile("REVISION")
// If we cant read file, just skip to the next request handler
// This is pretty much a NOOP middlware :)
if err != nil {
return func(c *gin.Context) {
c.Next()
}
}
// Clean up the value since it could contain line breaks
revision := strings.TrimSpace(string(data))
// Set out header value for each response
return func(c *gin.Context) {
c.Writer.Header().Set("X-Revision", revision)
c.Next()
}
}
结果你会在http响应中得到一个新的标题:
X-Revision: d4b371692d361869183d92d84caa5edb8835cf7d
请求ID 中间件
在API服务之后,X-Request-Id为响应头部注入一个特殊的头部,可用于跟踪传入的请求以进行监视/调试。请求标头的值通常被格式化为UUID V4。
// ...
import github.com/satori/go.uuid
// ...
func RequestIdMiddleware() gin.HandlerFunc {
return func(c *gin.Context) {
c.Writer.Header().Set("X-Request-Id", uuid.NewV4().String())
c.Next()
}
}
在向服务端发出请求后,您会在响应中看到一个新的头信息,与此类似:
X-Request-Id: ea9ef5f9-107b-4a4e-9295-57d701d85a92