web/auth/authenticate.go

package auth

import (
	"context"
	"encoding/base64"
	"errors"
	"fmt"
	"log/slog"
	"platform/web/core"
	client2 "platform/web/domains/client"
	m "platform/web/models"
	q "platform/web/queries"
	s "platform/web/services"
	"strings"
	"time"

	"github.com/gofiber/fiber/v2"
	"golang.org/x/crypto/bcrypt"
)

func Authenticate() fiber.Handler {
	return func(ctx *fiber.Ctx) error {
		header := ctx.Get(fiber.HeaderAuthorization)
		authCtx, err := authHeader(ctx.Context(), header)
		if err != nil {
			return err
		}

		if authCtx == nil {
			authCtx = &AuthCtx{}
		}

		SetAuthCtx(ctx, authCtx)
		return ctx.Next()
	}
}

func authHeader(ctx context.Context, header string) (*AuthCtx, error) {
	if header == "" {
		return nil, nil
	}

	var split = strings.Split(header, " ")
	if len(split) != 2 {
		slog.Debug("Authorization 头格式不正确")
		return nil, ErrAuthenticateUnauthorize
	}

	var token = strings.TrimSpace(split[1])
	if token == "" {
		slog.Debug("提供的令牌为空")
		return nil, ErrAuthenticateUnauthorize
	}

	var authCtx *AuthCtx
	var err error
	switch split[0] {

	case "Bearer":
		authCtx, err = authBearer(ctx, token)
		if err != nil {
			slog.Debug("Bearer 认证失败", "err", err)
			return nil, ErrAuthenticateUnauthorize
		}

	case "Basic":
		authCtx, err = authBasic(ctx, token)
		if err != nil {
			slog.Debug("Basic 认证失败", "err", err)
			return nil, ErrAuthenticateUnauthorize
		}

	default:
		slog.Debug("无效的认证方式", "method", split[0])
		return nil, ErrAuthenticateUnauthorize
	}

	return authCtx, err
}

func authBearer(_ context.Context, token string) (*AuthCtx, error) {
	session, err := FindSession(token, time.Now())
	if err != nil {
		slog.Debug("Bearer 认证失败", "err", err)
		return nil, ErrAuthenticateUnauthorize
	}

	scopes := []string{}
	if session.Scopes_ != nil {
		scopes = strings.Split(*session.Scopes_, " ")
	}
	return &AuthCtx{
		User:    session.User,
		Admin:   session.Admin,
		Client:  session.Client,
		Scopes:  scopes,
		Session: session,
	}, nil
}

func authBasic(_ context.Context, token string) (*AuthCtx, error) {

	// 解析 Basic 认证信息
	var base, err = base64.RawURLEncoding.DecodeString(token)
	if err != nil {
		base, err = base64.URLEncoding.DecodeString(token)
		if err != nil {
			return nil, errors.New("令牌格式错误，无法解析令牌")
		}
	}

	var split = strings.Split(string(base), ":")
	if len(split) != 2 {
		return nil, errors.New("令牌格式错误，必须是 <client_id>:<client_secret> 格式")
	}

	client, err := authClient(split[0], split[1])
	if err != nil {
		return nil, fmt.Errorf("客户端认证失败：%w", err)
	}

	return &AuthCtx{
		Client: client,
		Scopes: []string{},
	}, nil
}

func authClient(clientId, clientSecret string) (*m.Client, error) {

	// 获取客户端信息
	client, err := q.Client.
		Where(
			q.Client.ClientID.Eq(clientId),
			q.Client.Status.Eq(1)).
		Take()
	if err != nil {
		return nil, err
	}

	// 检查客户端密钥
	spec := client2.Spec(client.Spec)
	if spec == client2.SpecWeb || spec == client2.SpecApi {
		if bcrypt.CompareHashAndPassword([]byte(client.ClientSecret), []byte(clientSecret)) != nil {
			return nil, errors.New("客户端密钥错误")
		}
	}

	// todo 查询客户端关联权限

	// 组织授权信息（一次性请求）
	return client, nil
}

func authUserBySms(tx *q.Query, username, code string) (*m.User, error) {
	// 验证验证码
	err := s.Verifier.VerifySms(context.Background(), username, code)
	if err != nil {
		return nil, core.NewBizErr("短信认证失败：%w", err)
	}

	// 查找用户
	return tx.User.Where(tx.User.Phone.Eq(username)).Take()
}

func authUserByEmail(tx *q.Query, username, code string) (*m.User, error) {
	return nil, core.NewServErr("邮箱登录不可用")
}

func authUserByPassword(tx *q.Query, username, password string) (*m.User, error) {
	user, err := tx.User.
		Where(tx.User.Phone.Eq(username)).
		Or(tx.User.Email.Eq(username)).
		Or(tx.User.Username.Eq(username)).
		Take()
	if err != nil {
		slog.Debug("查找用户失败", "error", err)
		return nil, core.NewBizErr("用户不存在或密码错误")
	}

	// 验证密码
	if user.Password == nil || *user.Password == "" {
		slog.Debug("用户未设置密码", "username", username)
		return nil, core.NewBizErr("用户不存在或密码错误")
	}
	if bcrypt.CompareHashAndPassword([]byte(*user.Password), []byte(password)) != nil {
		slog.Debug("密码验证失败", "username", username)
		return nil, core.NewBizErr("用户不存在或密码错误")
	}

	return user, nil
}
完成白名单接口 2025-04-08 09:35:19 +08:00			`package auth`
认证授权主要流程实现 2025-03-18 17:57:07 +08:00
			`import (`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`"context"`
			`"encoding/base64"`
			`"errors"`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`"fmt"`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`"log/slog"`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`"platform/web/core"`
重构增加模型枚举值定义 2025-05-09 18:56:17 +08:00			`client2 "platform/web/domains/client"`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`m "platform/web/models"`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`q "platform/web/queries"`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`s "platform/web/services"`
认证授权主要流程实现 2025-03-18 17:57:07 +08:00			`"strings"`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`"time"`
认证授权主要流程实现 2025-03-18 17:57:07 +08:00
			`"github.com/gofiber/fiber/v2"`
优化认证逻辑，无权限打印原因 2025-04-28 10:05:44 +08:00			`"golang.org/x/crypto/bcrypt"`
认证授权主要流程实现 2025-03-18 17:57:07 +08:00			`)`

重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`func Authenticate() fiber.Handler {`
			`return func(ctx *fiber.Ctx) error {`
			`header := ctx.Get(fiber.HeaderAuthorization)`
			`authCtx, err := authHeader(ctx.Context(), header)`
			`if err != nil {`
			`return err`
			`}`
新增 ProtectBuilder 简化认证逻辑编写 2025-05-13 09:28:10 +08:00
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`if authCtx == nil {`
			`authCtx = &AuthCtx{}`
			`}`
新增 ProtectBuilder 简化认证逻辑编写 2025-05-13 09:28:10 +08:00
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`SetAuthCtx(ctx, authCtx)`
			`return ctx.Next()`
			`}`
新增 ProtectBuilder 简化认证逻辑编写 2025-05-13 09:28:10 +08:00			`}`

重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`func authHeader(ctx context.Context, header string) (*AuthCtx, error) {`
			`if header == "" {`
			`return nil, nil`
			`}`
新增 ProtectBuilder 简化认证逻辑编写 2025-05-13 09:28:10 +08:00
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`var split = strings.Split(header, " ")`
			`if len(split) != 2 {`
新增代理服务的离线接口，优化认证逻辑，代理服务表添加状态字段 2025-05-13 15:26:40 +08:00			`slog.Debug("Authorization 头格式不正确")`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`return nil, ErrAuthenticateUnauthorize`
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`}`
认证授权主要流程实现 2025-03-18 17:57:07 +08:00
新增代理服务的离线接口，优化认证逻辑，代理服务表添加状态字段 2025-05-13 15:26:40 +08:00			`var token = strings.TrimSpace(split[1])`
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`if token == "" {`
新增代理服务的离线接口，优化认证逻辑，代理服务表添加状态字段 2025-05-13 15:26:40 +08:00			`slog.Debug("提供的令牌为空")`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`return nil, ErrAuthenticateUnauthorize`
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`}`

重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`var authCtx *AuthCtx`
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`var err error`
			`switch split[0] {`
完善认证逻辑，添加用户信息 introspect 接口，更新 .gitignore 忽略 scripts 目录 2025-04-26 17:59:34 +08:00
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`case "Bearer":`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`authCtx, err = authBearer(ctx, token)`
完善认证逻辑，添加用户信息 introspect 接口，更新 .gitignore 忽略 scripts 目录 2025-04-26 17:59:34 +08:00			`if err != nil {`
添加认证失败错误信息 2025-05-06 19:05:44 +08:00			`slog.Debug("Bearer 认证失败", "err", err)`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`return nil, ErrAuthenticateUnauthorize`
完善认证逻辑，添加用户信息 introspect 接口，更新 .gitignore 忽略 scripts 目录 2025-04-26 17:59:34 +08:00			`}`

完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`case "Basic":`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`authCtx, err = authBasic(ctx, token)`
完善认证逻辑，添加用户信息 introspect 接口，更新 .gitignore 忽略 scripts 目录 2025-04-26 17:59:34 +08:00			`if err != nil {`
添加认证失败错误信息 2025-05-06 19:05:44 +08:00			`slog.Debug("Basic 认证失败", "err", err)`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`return nil, ErrAuthenticateUnauthorize`
完善认证逻辑，添加用户信息 introspect 接口，更新 .gitignore 忽略 scripts 目录 2025-04-26 17:59:34 +08:00			`}`

完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`default:`
新增代理服务的离线接口，优化认证逻辑，代理服务表添加状态字段 2025-05-13 15:26:40 +08:00			`slog.Debug("无效的认证方式", "method", split[0])`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`return nil, ErrAuthenticateUnauthorize`
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`}`

重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`return authCtx, err`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`}`
认证授权主要流程实现 2025-03-18 17:57:07 +08:00
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`func authBearer(_ context.Context, token string) (*AuthCtx, error) {`
			`session, err := FindSession(token, time.Now())`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`if err != nil {`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`slog.Debug("Bearer 认证失败", "err", err)`
			`return nil, ErrAuthenticateUnauthorize`
			`}`

			`scopes := []string{}`
			`if session.Scopes_ != nil {`
			`scopes = strings.Split(*session.Scopes_, " ")`
认证授权主要流程实现 2025-03-18 17:57:07 +08:00			`}`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`return &AuthCtx{`
			`User: session.User,`
			`Admin: session.Admin,`
			`Client: session.Client,`
			`Scopes: scopes,`
			`Session: session,`
			`}, nil`
认证授权主要流程实现 2025-03-18 17:57:07 +08:00			`}`
完善登录与鉴权机制 2025-03-28 15:01:30 +08:00
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`func authBasic(_ context.Context, token string) (*AuthCtx, error) {`
完善登录与鉴权机制 2025-03-28 15:01:30 +08:00
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`// 解析 Basic 认证信息`
修正基本认证解码方式；添加查询 channels 接口 2025-04-28 11:44:54 +08:00			`var base, err = base64.RawURLEncoding.DecodeString(token)`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`if err != nil {`
完善错误处理逻辑，统一使用 BizErr 包装业务错误，提供打印源码跳转并返回合适的 http 状态码 2025-05-24 12:37:16 +08:00			`base, err = base64.URLEncoding.DecodeString(token)`
			`if err != nil {`
			`return nil, errors.New("令牌格式错误，无法解析令牌")`
			`}`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`}`
完善登录与鉴权机制 2025-03-28 15:01:30 +08:00
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`var split = strings.Split(string(base), ":")`
			`if len(split) != 2 {`
新增代理服务的离线接口，优化认证逻辑，代理服务表添加状态字段 2025-05-13 15:26:40 +08:00			`return nil, errors.New("令牌格式错误，必须是 <client_id>:<client_secret> 格式")`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`}`
完善登录与鉴权机制 2025-03-28 15:01:30 +08:00
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`client, err := authClient(split[0], split[1])`
			`if err != nil {`
			`return nil, fmt.Errorf("客户端认证失败：%w", err)`
			`}`

			`return &AuthCtx{`
			`Client: client,`
			`Scopes: []string{},`
			`}, nil`
			`}`

			`func authClient(clientId, clientSecret string) (*m.Client, error) {`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00
			`// 获取客户端信息`
			`client, err := q.Client.`
			`Where(`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`q.Client.ClientID.Eq(clientId),`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`q.Client.Status.Eq(1)).`
			`Take()`
			`if err != nil {`
			`return nil, err`
完善登录与鉴权机制 2025-03-28 15:01:30 +08:00			`}`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00
优化认证逻辑，无权限打印原因 2025-04-28 10:05:44 +08:00			`// 检查客户端密钥`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`spec := client2.Spec(client.Spec)`
			`if spec == client2.SpecWeb \|\| spec == client2.SpecApi {`
			`if bcrypt.CompareHashAndPassword([]byte(client.ClientSecret), []byte(clientSecret)) != nil {`
			`return nil, errors.New("客户端密钥错误")`
			`}`
优化认证逻辑，无权限打印原因 2025-04-28 10:05:44 +08:00			`}`

完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`// todo 查询客户端关联权限`

			`// 组织授权信息（一次性请求）`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`return client, nil`
完善登录与鉴权机制 2025-03-28 15:01:30 +08:00			`}`
完善错误处理逻辑，统一使用 BizErr 包装业务错误，提供打印源码跳转并返回合适的 http 状态码 2025-05-24 12:37:16 +08:00
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`func authUserBySms(tx q.Query, username, code string) (m.User, error) {`
			`// 验证验证码`
			`err := s.Verifier.VerifySms(context.Background(), username, code)`
			`if err != nil {`
修复重构后逻辑问题 2025-11-21 12:59:05 +08:00			`return nil, core.NewBizErr("短信认证失败：%w", err)`
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`}`

			`// 查找用户`
			`return tx.User.Where(tx.User.Phone.Eq(username)).Take()`
			`}`
完善错误处理逻辑，统一使用 BizErr 包装业务错误，提供打印源码跳转并返回合适的 http 状态码 2025-05-24 12:37:16 +08:00
重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`func authUserByEmail(tx q.Query, username, code string) (m.User, error) {`
			`return nil, core.NewServErr("邮箱登录不可用")`
完善错误处理逻辑，统一使用 BizErr 包装业务错误，提供打印源码跳转并返回合适的 http 状态码 2025-05-24 12:37:16 +08:00			`}`

重构代码结构与认证体系，集成异步任务消费者 2025-11-17 18:38:10 +08:00			`func authUserByPassword(tx q.Query, username, password string) (m.User, error) {`
			`user, err := tx.User.`
			`Where(tx.User.Phone.Eq(username)).`
			`Or(tx.User.Email.Eq(username)).`
			`Or(tx.User.Username.Eq(username)).`
			`Take()`
			`if err != nil {`
			`slog.Debug("查找用户失败", "error", err)`
			`return nil, core.NewBizErr("用户不存在或密码错误")`
			`}`

			`// 验证密码`
			`if user.Password == nil \|\| *user.Password == "" {`
			`slog.Debug("用户未设置密码", "username", username)`
			`return nil, core.NewBizErr("用户不存在或密码错误")`
			`}`
			`if bcrypt.CompareHashAndPassword([]byte(*user.Password), []byte(password)) != nil {`
			`slog.Debug("密码验证失败", "username", username)`
			`return nil, core.NewBizErr("用户不存在或密码错误")`
			`}`

			`return user, nil`
			`}`