web/auth/authenticate.go

package auth

import (
	"context"
	"encoding/base64"
	"errors"
	"log/slog"
	client2 "platform/web/domains/client"
	q "platform/web/queries"
	"slices"
	"strings"

	"github.com/gofiber/fiber/v2"
	"golang.org/x/crypto/bcrypt"
)

type ProtectBuilder struct {
	c      *fiber.Ctx
	types  []PayloadType
	scopes []string
}

func NewProtect(c *fiber.Ctx) *ProtectBuilder {
	return &ProtectBuilder{c, []PayloadType{}, []string{}}
}

func (p *ProtectBuilder) Payload(types ...PayloadType) *ProtectBuilder {
	p.types = types
	return p
}

func (p *ProtectBuilder) Scopes(scopes ...string) *ProtectBuilder {
	p.scopes = scopes
	return p
}

func (p *ProtectBuilder) Do() (*Context, error) {
	return Protect(p.c, p.types, p.scopes)
}

func Protect(c *fiber.Ctx, types []PayloadType, permissions []string) (*Context, error) {
	// 获取令牌
	var header = c.Get("Authorization")
	var split = strings.Split(header, " ")
	if len(split) != 2 {
		slog.Debug("Authorization 头格式不正确")
		return nil, ErrUnauthorize
	}

	var token = strings.TrimSpace(split[1])
	if token == "" {
		slog.Debug("提供的令牌为空")
		return nil, ErrUnauthorize
	}

	var auth *Context
	var err error
	switch split[0] {

	case "Bearer":
		auth, err = authBearer(c.Context(), token)
		if err != nil {
			slog.Debug("Bearer 认证失败", "err", err)
			return nil, ErrUnauthorize
		}

	case "Basic":
		if !slices.Contains(types, PayloadInternalServer) {
			slog.Debug("禁止使用 Basic 认证方式")
			return nil, ErrUnauthorize
		}
		auth, err = authBasic(c.Context(), token)
		if err != nil {
			slog.Debug("Basic 认证失败", "err", err)
			return nil, ErrUnauthorize
		}

	default:
		slog.Debug("无效的认证方式", "method", split[0])
		return nil, ErrUnauthorize
	}

	// 检查权限
	if !slices.Contains(types, auth.Payload.Type) {
		slog.Debug("无效的负载类型", "except", types, "actual", auth.Payload.Type)
		return nil, ErrForbidden
	}

	if len(permissions) > 0 && !auth.AnyPermission(permissions...) {
		slog.Debug("无效的认证权限", "except", permissions, "actual", auth.Permissions)
		return nil, ErrForbidden
	}

	// 保存到上下文
	Locals(c, auth)
	return auth, nil
}

func Locals(c *fiber.Ctx, auth *Context) {
	c.Locals("auth", auth)
}

func authBearer(ctx context.Context, token string) (*Context, error) {
	auth, err := FindSession(ctx, token)
	if err != nil {
		slog.Debug(err.Error())
		return nil, err
	}
	return auth, nil
}

func authBasic(_ context.Context, token string) (*Context, error) {

	// 解析 Basic 认证信息
	var base, err = base64.RawURLEncoding.DecodeString(token)
	if err != nil {
		base, err = base64.URLEncoding.DecodeString(token)
		if err != nil {
			return nil, errors.New("令牌格式错误，无法解析令牌")
		}
	}

	var split = strings.Split(string(base), ":")
	if len(split) != 2 {
		return nil, errors.New("令牌格式错误，必须是 <client_id>:<client_secret> 格式")
	}

	var clientID = split[0]

	// 获取客户端信息
	client, err := q.Client.
		Where(
			q.Client.ClientID.Eq(clientID),
			q.Client.Spec.In(int32(client2.SpecWeb), int32(client2.SpecTrusted)),
			q.Client.GrantClient.Is(true),
			q.Client.Status.Eq(1)).
		Take()
	if err != nil {
		return nil, err
	}

	// 检查客户端密钥
	var clientSecret = split[1]
	if bcrypt.CompareHashAndPassword([]byte(client.ClientSecret), []byte(clientSecret)) != nil {
		return nil, errors.New("客户端密钥错误")
	}

	// todo 查询客户端关联权限

	// 组织授权信息（一次性请求）
	return &Context{
		Payload: Payload{
			Id:     client.ID,
			Type:   PayloadTypeFromClientSpec(client2.Spec(client.Spec)),
			Name:   client.Name,
			Avatar: client.Icon,
		},
		Permissions: nil,
		Metadata:    nil,
	}, nil
}

type AuthenticationErr string

func (e AuthenticationErr) Error() string {
	return string(e)
}

var (
	ErrUnauthorize = AuthenticationErr("令牌无效")
	ErrForbidden   = AuthenticationErr("没有权限")
)
完成白名单接口 2025-04-08 09:35:19 +08:00			`package auth`
认证授权主要流程实现 2025-03-18 17:57:07 +08:00
			`import (`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`"context"`
			`"encoding/base64"`
			`"errors"`
			`"log/slog"`
重构增加模型枚举值定义 2025-05-09 18:56:17 +08:00			`client2 "platform/web/domains/client"`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`q "platform/web/queries"`
完善通道创建与同步流程 2025-03-29 11:13:10 +08:00			`"slices"`
认证授权主要流程实现 2025-03-18 17:57:07 +08:00			`"strings"`

			`"github.com/gofiber/fiber/v2"`
优化认证逻辑，无权限打印原因 2025-04-28 10:05:44 +08:00			`"golang.org/x/crypto/bcrypt"`
认证授权主要流程实现 2025-03-18 17:57:07 +08:00			`)`

新增 ProtectBuilder 简化认证逻辑编写 2025-05-13 09:28:10 +08:00			`type ProtectBuilder struct {`
			`c *fiber.Ctx`
			`types []PayloadType`
			`scopes []string`
			`}`

			`func NewProtect(c fiber.Ctx) ProtectBuilder {`
			`return &ProtectBuilder{c, []PayloadType{}, []string{}}`
			`}`

			`func (p ProtectBuilder) Payload(types ...PayloadType) ProtectBuilder {`
			`p.types = types`
			`return p`
			`}`

			`func (p ProtectBuilder) Scopes(scopes ...string) ProtectBuilder {`
			`p.scopes = scopes`
			`return p`
			`}`

			`func (p ProtectBuilder) Do() (Context, error) {`
			`return Protect(p.c, p.types, p.scopes)`
			`}`

重构迁移核心数据结构到认证模块；完善中间件初始化逻辑以及 logger 记录过程 2025-05-08 13:18:54 +08:00			`func Protect(c fiber.Ctx, types []PayloadType, permissions []string) (Context, error) {`
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`// 获取令牌`
			`var header = c.Get("Authorization")`
			`var split = strings.Split(header, " ")`
			`if len(split) != 2 {`
新增代理服务的离线接口，优化认证逻辑，代理服务表添加状态字段 2025-05-13 15:26:40 +08:00			`slog.Debug("Authorization 头格式不正确")`
完善错误处理逻辑，统一使用 BizErr 包装业务错误，提供打印源码跳转并返回合适的 http 状态码 2025-05-24 12:37:16 +08:00			`return nil, ErrUnauthorize`
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`}`
认证授权主要流程实现 2025-03-18 17:57:07 +08:00
新增代理服务的离线接口，优化认证逻辑，代理服务表添加状态字段 2025-05-13 15:26:40 +08:00			`var token = strings.TrimSpace(split[1])`
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`if token == "" {`
新增代理服务的离线接口，优化认证逻辑，代理服务表添加状态字段 2025-05-13 15:26:40 +08:00			`slog.Debug("提供的令牌为空")`
完善错误处理逻辑，统一使用 BizErr 包装业务错误，提供打印源码跳转并返回合适的 http 状态码 2025-05-24 12:37:16 +08:00			`return nil, ErrUnauthorize`
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`}`

重构迁移核心数据结构到认证模块；完善中间件初始化逻辑以及 logger 记录过程 2025-05-08 13:18:54 +08:00			`var auth *Context`
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`var err error`
			`switch split[0] {`
完善认证逻辑，添加用户信息 introspect 接口，更新 .gitignore 忽略 scripts 目录 2025-04-26 17:59:34 +08:00
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`case "Bearer":`
			`auth, err = authBearer(c.Context(), token)`
完善认证逻辑，添加用户信息 introspect 接口，更新 .gitignore 忽略 scripts 目录 2025-04-26 17:59:34 +08:00			`if err != nil {`
添加认证失败错误信息 2025-05-06 19:05:44 +08:00			`slog.Debug("Bearer 认证失败", "err", err)`
完善错误处理逻辑，统一使用 BizErr 包装业务错误，提供打印源码跳转并返回合适的 http 状态码 2025-05-24 12:37:16 +08:00			`return nil, ErrUnauthorize`
完善认证逻辑，添加用户信息 introspect 接口，更新 .gitignore 忽略 scripts 目录 2025-04-26 17:59:34 +08:00			`}`

完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`case "Basic":`
新增代理服务的离线接口，优化认证逻辑，代理服务表添加状态字段 2025-05-13 15:26:40 +08:00			`if !slices.Contains(types, PayloadInternalServer) {`
优化认证逻辑，无权限打印原因 2025-04-28 10:05:44 +08:00			`slog.Debug("禁止使用 Basic 认证方式")`
完善错误处理逻辑，统一使用 BizErr 包装业务错误，提供打印源码跳转并返回合适的 http 状态码 2025-05-24 12:37:16 +08:00			`return nil, ErrUnauthorize`
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`}`
			`auth, err = authBasic(c.Context(), token)`
完善认证逻辑，添加用户信息 introspect 接口，更新 .gitignore 忽略 scripts 目录 2025-04-26 17:59:34 +08:00			`if err != nil {`
添加认证失败错误信息 2025-05-06 19:05:44 +08:00			`slog.Debug("Basic 认证失败", "err", err)`
完善错误处理逻辑，统一使用 BizErr 包装业务错误，提供打印源码跳转并返回合适的 http 状态码 2025-05-24 12:37:16 +08:00			`return nil, ErrUnauthorize`
完善认证逻辑，添加用户信息 introspect 接口，更新 .gitignore 忽略 scripts 目录 2025-04-26 17:59:34 +08:00			`}`

完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`default:`
新增代理服务的离线接口，优化认证逻辑，代理服务表添加状态字段 2025-05-13 15:26:40 +08:00			`slog.Debug("无效的认证方式", "method", split[0])`
完善错误处理逻辑，统一使用 BizErr 包装业务错误，提供打印源码跳转并返回合适的 http 状态码 2025-05-24 12:37:16 +08:00			`return nil, ErrUnauthorize`
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`}`

			`// 检查权限`
			`if !slices.Contains(types, auth.Payload.Type) {`
新增代理服务的离线接口，优化认证逻辑，代理服务表添加状态字段 2025-05-13 15:26:40 +08:00			`slog.Debug("无效的负载类型", "except", types, "actual", auth.Payload.Type)`
完善错误处理逻辑，统一使用 BizErr 包装业务错误，提供打印源码跳转并返回合适的 http 状态码 2025-05-24 12:37:16 +08:00			`return nil, ErrForbidden`
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`}`
优化认证逻辑，无权限打印原因 2025-04-28 10:05:44 +08:00
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`if len(permissions) > 0 && !auth.AnyPermission(permissions...) {`
新增代理服务的离线接口，优化认证逻辑，代理服务表添加状态字段 2025-05-13 15:26:40 +08:00			`slog.Debug("无效的认证权限", "except", permissions, "actual", auth.Permissions)`
完善错误处理逻辑，统一使用 BizErr 包装业务错误，提供打印源码跳转并返回合适的 http 状态码 2025-05-24 12:37:16 +08:00			`return nil, ErrForbidden`
完善登录逻辑，登录接口统一到 /token 2025-04-23 19:01:08 +08:00			`}`

添加运行模式配置，优化调试和生产环境的日志输出 2025-05-07 19:03:44 +08:00			`// 保存到上下文`
重构迁移核心数据结构到认证模块；完善中间件初始化逻辑以及 logger 记录过程 2025-05-08 13:18:54 +08:00			`Locals(c, auth)`
			`return auth, nil`
			`}`

			`func Locals(c fiber.Ctx, auth Context) {`
添加运行模式配置，优化调试和生产环境的日志输出 2025-05-07 19:03:44 +08:00			`c.Locals("auth", auth)`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`}`
认证授权主要流程实现 2025-03-18 17:57:07 +08:00
重构迁移核心数据结构到认证模块；完善中间件初始化逻辑以及 logger 记录过程 2025-05-08 13:18:54 +08:00			`func authBearer(ctx context.Context, token string) (*Context, error) {`
重构认证授权逻辑，集中到 auth 包中 2025-05-12 10:07:12 +08:00			`auth, err := FindSession(ctx, token)`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`if err != nil {`
			`slog.Debug(err.Error())`
			`return nil, err`
认证授权主要流程实现 2025-03-18 17:57:07 +08:00			`}`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`return auth, nil`
认证授权主要流程实现 2025-03-18 17:57:07 +08:00			`}`
完善登录与鉴权机制 2025-03-28 15:01:30 +08:00
重构迁移核心数据结构到认证模块；完善中间件初始化逻辑以及 logger 记录过程 2025-05-08 13:18:54 +08:00			`func authBasic(_ context.Context, token string) (*Context, error) {`
完善登录与鉴权机制 2025-03-28 15:01:30 +08:00
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`// 解析 Basic 认证信息`
修正基本认证解码方式；添加查询 channels 接口 2025-04-28 11:44:54 +08:00			`var base, err = base64.RawURLEncoding.DecodeString(token)`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`if err != nil {`
完善错误处理逻辑，统一使用 BizErr 包装业务错误，提供打印源码跳转并返回合适的 http 状态码 2025-05-24 12:37:16 +08:00			`base, err = base64.URLEncoding.DecodeString(token)`
			`if err != nil {`
			`return nil, errors.New("令牌格式错误，无法解析令牌")`
			`}`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`}`
完善登录与鉴权机制 2025-03-28 15:01:30 +08:00
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`var split = strings.Split(string(base), ":")`
			`if len(split) != 2 {`
新增代理服务的离线接口，优化认证逻辑，代理服务表添加状态字段 2025-05-13 15:26:40 +08:00			`return nil, errors.New("令牌格式错误，必须是 <client_id>:<client_secret> 格式")`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`}`
完善登录与鉴权机制 2025-03-28 15:01:30 +08:00
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`var clientID = split[0]`

			`// 获取客户端信息`
			`client, err := q.Client.`
			`Where(`
			`q.Client.ClientID.Eq(clientID),`
重构增加模型枚举值定义 2025-05-09 18:56:17 +08:00			`q.Client.Spec.In(int32(client2.SpecWeb), int32(client2.SpecTrusted)),`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`q.Client.GrantClient.Is(true),`
			`q.Client.Status.Eq(1)).`
			`Take()`
			`if err != nil {`
			`return nil, err`
完善登录与鉴权机制 2025-03-28 15:01:30 +08:00			`}`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00
优化认证逻辑，无权限打印原因 2025-04-28 10:05:44 +08:00			`// 检查客户端密钥`
			`var clientSecret = split[1]`
			`if bcrypt.CompareHashAndPassword([]byte(client.ClientSecret), []byte(clientSecret)) != nil {`
			`return nil, errors.New("客户端密钥错误")`
			`}`

完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`// todo 查询客户端关联权限`

			`// 组织授权信息（一次性请求）`
重构迁移核心数据结构到认证模块；完善中间件初始化逻辑以及 logger 记录过程 2025-05-08 13:18:54 +08:00			`return &Context{`
			`Payload: Payload{`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`Id: client.ID,`
新增代理服务的离线接口，优化认证逻辑，代理服务表添加状态字段 2025-05-13 15:26:40 +08:00			`Type: PayloadTypeFromClientSpec(client2.Spec(client.Spec)),`
完善通道删除与定时失效功能 2025-03-31 09:09:05 +08:00			`Name: client.Name,`
			`Avatar: client.Icon,`
			`},`
			`Permissions: nil,`
			`Metadata: nil,`
			`}, nil`
完善登录与鉴权机制 2025-03-28 15:01:30 +08:00			`}`
完善错误处理逻辑，统一使用 BizErr 包装业务错误，提供打印源码跳转并返回合适的 http 状态码 2025-05-24 12:37:16 +08:00
			`type AuthenticationErr string`

			`func (e AuthenticationErr) Error() string {`
			`return string(e)`
			`}`

			`var (`
			`ErrUnauthorize = AuthenticationErr("令牌无效")`
			`ErrForbidden = AuthenticationErr("没有权限")`
			`)`