• Go Web——Beego之controller其他相关知识

    文章目录

    XSRF过滤

    跨站请求伪造

    跨站请求伪造(Cross-site request forgery), 简称为 XSRF,是 Web 应用中常见的一个安全问题。前面的链接也详细讲述了 XSRF 攻击的实现方式。

    当前防范 XSRF 的一种通用的方法,是对每一个用户都记录一个无法预知的 cookie 数据,然后要求所有提交的请求(POST/PUT/DELETE)中都必须带有这个 cookie 数据。如果此数据不匹配 ,那么这个请求就可能是被伪造的。

    beego 有内建的 XSRF 的防范机制,要使用此机制,你需要在应用配置文件中加上 enablexsrf 设定:

    enablexsrf = true
xsrfkey = 61oETzKXQAGaYdkL5gEmGeJJFuYh7EQnp2XdTP1o
xsrfexpire = 3600

    • 1
    • 2
    • 3

    或者直接在 main 入口处这样设置:

    web.EnableXSRF = true
web.XSRFKEY = "61oETzKXQAGaYdkL5gEmGeJJFuYh7EQnp2XdTP1o"
web.XSRFExpire = 3600  //过期时间,默认1小时

    • 1
    • 2
    • 3

    如果开启了 XSRF,那么 beego 的 Web 应用将对所有用户设置一个 _xsrf 的 cookie 值(默认过期 1 小时),如果 POST PUT DELET 请求中没有这个 cookie 值,那么这个请求会被直接拒绝。如果你开启了这个机制,那么在所有被提交的表单中,你都需要加上一个域来提供这个值。你可以通过在模板中使用 专门的函数 XSRFFormHTML() 来做到这一点:

    过期时间上面我们设置了全局的过期时间 web.XSRFExpire,但是有些时候我们也可以在控制器中修改这个过期时间,专门针对某一类处理逻辑:

    func (this *HomeController) Get(){
   
    this.XSRFExpire = 7200
    this.Data["xsrfdata"]=template.HTML(this.XSRFFormHTML())
}

    • 1
    • 2
    • 3
    • 4
    • 5

    在 Beego 2.x 里面有一个很大的不同,就是 Beego 2.x 的XSRF只支持 HTTPS 协议。

    这是因为,在 2.x 的时候,我们给存储 XSRF token的 cookie 加上了 secure, http-only.
    两个设置,所以只能通过 HTTPS 协议运作。

    与此同时,你也无法通过 JS 获取到 XSRF token。

    这个改进,一个很重要的原因是,在 1.x 的时候,缺乏这两个选项,会导致攻击者可以从 cookie 中拿到 XSRF token,导致 XSRF 失效。

    支持controller 级别的屏蔽

    XSRF 之前是全局设置的一个参数,如果设置了那么所有的 API 请求都会进行验证,但是有些时候API 逻辑是不需要进行验证的,因此现在支持在controller 级别设置屏蔽:

    type AdminController struct{
   
    web.Controller
}

func (a *AdminController) Prepare() {
   
    a.EnableXSRF = false
}

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9

    过滤器

    beego 支持自定义过滤中间件,例如安全验证,强制跳转等。

    过滤器函数如下所示:

    web.InsertFilter(pattern string, pos int, filter FilterFunc, opts ...FilterOpt)

    • 1

    InsertFilter 函数的三个必填参数,一个可选参数

    • pattern 路由规则,可以根据一定的规则进行路由,如果你全匹配可以用 *
    • position 执行 Filter 的地方,五个固定参数如下,分别表示不同的执行过程
      • BeforeStatic 静态地址之前
      • BeforeRouter 寻找路由之前
      • BeforeExec 找到路由之后,开始执行相应的 Controller 之前
      • AfterExec 执行完 Controller 逻辑之后执行的过滤器
      • FinishRouter 执行完逻辑之后执行的过滤器
    • filter filter 函数 type FilterFunc func(*context.Context)
    • opts
      1. web.WithReturnOnOutput: 设置 returnOnOutput 的值(默认 true), 如果在进行到此过滤之前已经有输出,是否不再继续执行此过滤器,默认设置为如果前面已有输出(参数为true),则不再执行此过滤器
      2. web.WithResetParams: 是否重置 filters 的参数,默认是 false,因为在 filters 的 pattern 和本身的路由的 pattern 冲突的时候,可以把 filters 的参数重置,这样可以保证在后续的逻辑中获取到正确的参数,例如设置了 /api/* 的 filter,同时又设置了 /api/docs/* 的 router,那么在访问 /api/docs/swagger/abc.js 的时候,在执行 filters 的时候设置 :splat 参数为 docs/swagger/abc.js,但是如果不清楚 filter 的这个路由参数,就会在执行路由逻辑的时候保持 docs/swagger/abc.js,如果设置了 true,就会重置 :splat 参数.
      3. web.WithCaseSensitive: 是否大小写敏感。

    如下例子所示,验证用户是否已经登录,应用于全部的请求:

    var FilterUser = func(ctx *context.Context) {
   
    _, ok := ctx.Input.Session("uid").(int)
    if !ok && ctx.Request.RequestURI != "/login" {
   
        ctx.Redirect(302, "/login")
    }
}

web.InsertFilter("/*", web.BeforeRouter, FilterUser)

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10

    这里需要特别注意使用 session 的 Filter 必须在 BeforeStatic 之后才能获取,因为 session 没有在这之前初始化。

    还可以通过正则路由进行过滤,如果匹配参数就执行:

    var FilterUser = func(ctx *context.Context) {
   
    _, ok := ctx.Input.Session("uid").(int)
    if !ok {
   
        ctx.Redirect(302, "/login")
    }
}
web.InsertFilter("/user/:id([0-9]+)", web.BeforeRouter, FilterUser)

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9

    过滤器实现路由

    beego1.1.2 开始 Context.Input 中增加了 RunController 和 RunMethod, 这样我们就可以在执行路由查找之前,在 filter 中实现自己的路由规则.

    如下示例实现了如何实现自己的路由规则:

    var UrlManager = func(ctx *context.Context) {
   
    // 数据库读取全部的 url mapping 数据
    urlMapping := model.GetUrlMapping()
    for baseurl,rule:=range urlMapping {
   
        if baseurl == ctx.Request.RequestURI {
   
            ctx.Input.RunController = rule.controller
            ctx.Input.RunMethod = rule.method
            break
        }
    }
}

web.InsertFilter("/*", web.BeforeRouter, web.UrlManager)

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16

    Filter和FilterChain

    在 v1.x 的设计中,Filter 并不能直接调用下一个 Filter。这导致了我们无法解决一个问题,即我们希望这个 Filter 能够在代码执行前后都执行一段逻辑。

    例如,在考虑接入Opentracingprometheus的时候,我们就遇到了这种问题。

    考虑到这是一个通用的场景,我们在已有 Filter 的基础上,支持了Filter-Chain设计模式。

    type FilterChain func(next FilterFunc) FilterFunc

    • 1

    例如一个非常简单的例子:

    package main

import (
    "github.com/beego/beego/v2/core/logs"
    "github.com/beego/beego/v2/server/web"
    "github.com/beego/beego/v2/server/web/context"
)

func main() {
   
    web.InsertFilterChain("/*", func(next web.FilterFunc) web.FilterFunc {
   
        return func(ctx *context.Context) {
   
            // do something
            logs.Info("hello")
            // don't forget this
            next(ctx)

            // do something
        
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
  • 相关阅读:
    数据结构-单链表(增删查改)
    LVGL---按钮(lv_btn)
    Windows 虚拟地址 到底是如何映射到 物理地址 的?
    考华为云认证的必要条件、注意事项
    linux常用命令及解释大全(二)
    合成复用原则
    关于PMP考试免费重考,你想知道的都在这
    pytorch中维度不一致张量之间加减/逻辑运算问题
    React@16.x(14)context 举例 - Form 表单
    从TF-IDF 到BM25, BM25+,一文彻底理解文本相关度
  • 原文地址:https://blog.csdn.net/qq_39280718/article/details/126603242