go restful 安全_Go语言如何开发RESTful API接口服务

此前一直写java,最近转go了,总结一下如何用Go语言开发RESTful API接口服务,希望对Go新手有所帮助,同时也希望Go大神不吝赐教!

Golang.png

Frameworks and Libraries

Gin

网络框架,采用的Gin。Gin 是用 Go 编写的一个 Web 应用框架,对比其它主流的同类框架,他有更好的性能和更快的路由。由于其本身只是在官方 net/http 包的基础上做的完善,所以理解和上手很平滑。

Xorm

对数据库操作,我们可以直接写SQl,也可以使用ORM工具,因为ORM工具使用起来方便简洁。我们项目中使用的是xorm库。特点是提供简单但丰富实用的 API 来完成对数据库的各类操作。该库支持包括 MySQL、PostgreSQL、SQLite3 和 MsSQL 在内的主流数据库,其在支持链式操作的基础上,还允许结合SQL语句进行混合处理。另外,该库还支持session事务和回滚以及乐观锁等。

Project and Package Structure

本项目是一个服务的QUERY端,因为我们采用的CQRS。因为query端简单,因此采用三层结构。分别为Controller层,Apllication层,以及Gateway层。接下来详细了解各层职责。

Controller层

Controller层,主要提供Restful接口,Restful接口一定要符合规范,这样,别人才容易理解。

本接口是要获取我的crm系统中,某个商户的某个需求的详细信息。因此Restful接口设计如下:

func RequirementRouter(r *gin.Engine) {

r.GET("crm/merchants/:merchantId/requirements/:requirementId", handler.QueryRequirementById)

}

Application层

Application层

Application层是主要逻辑层,需要完成权限校验和数据查询以及格式转换的功能。其中分为了三个Package,分别为Auth,handler以及view。

auth

Auth package中提供身份认证以及权限校验接口。

// Get params from request and to authenticate

func HandleAuthenticateRequest() gin.HandlerFunc {

return func(c *gin.Context) {

userId := c.GetHeader(configuration.UIN)

log.Debug("HandleAuthenticateRequest,user id is ", userId)

identity, err := GetCasBinAuthInstance().HandleAuthenticate(userId, nil)

if identity == "" || err != nil {

c.Status(http.StatusUnauthorized)

c.Abort()

}

c.Next()

}

}

// Get params from request and to authorize

func HandleAuthorizeRequest(ctx *gin.Context, objectType string, operation string) error {

log.Debug("HandleAuthorizeRequest, object and operation is ", objectType, operation)

userId := getUserIdFromRequest(ctx)

if userId == "" {

return errs.New(errs.UNAUTHORIZED, "user authorize failed,can not get user id")

}

merchantId := getMerchantIdFromRequest(ctx)

if merchantId == "" {

return errs.New(errs.UNAUTHORIZED, "user authorize failed,can not get merchant id")

}

permission := getPermission(objectType, operation, merchantId)

success, err := GetCasBinAuthInstance().HandleAuthorize(userId, permission)

if err != nil || !success {

log.Warn("user authorize failed, userId=", userId, ", err=", err)

return errs.New(errs.UNAUTHORIZED, "user authorize failed")

}

return nil

}

因为每个接口都需要身份认证,其实身份认证可以放到请求入口处做,而权限校验不是每个接口都需要,同时,权限包含一定的业务逻辑,因此权限校验在Applciation这一层做是比较合适的。

handler

handler pankage中是controller层和application的一个中间层,每一个Restful请求,对应一个Gin 的HandlerFunc,看一个Gin中的请求接口定义:

func (group *RouterGroup) POST(relativePath string, handlers ...HandlerFunc) IRoutes {

return group.handle("POST", relativePath, handlers)

}

// GET is a shortcut for router.Handle("GET", path, handle).

func (group *RouterGroup) GET(relativePath string, handlers ...HandlerFunc) IRoutes {

return group.handle("GET", relativePath, handlers)

}

// DELETE is a shortcut for router.Handle("DELETE", path, handle).

func (group *RouterGroup) DELETE(relativePath string, handlers ...HandlerFunc) IRoutes {

return group.handle("DELETE", relativePath, handlers)

}

在每个handler我们首先调用auth的权限校验接口进行权限校验,然后对必须的请求参数进行检查,如果参数无效或缺少,返回错误,如果权限以及参数校验均通过,则调用view中的真正逻辑接口,进行查询数据。

func QueryRequirementById(ctx *gin.Context) {

err := auth.HandleAuthorizeRequest(ctx, "P", "VIEW_REQUIREMENT_DETAIL")

if err != nil {

responseBodyHandler(ctx, nil, err)

return

}

requirementId, err := strconv.Atoi(ctx.Param("requirementId"))

if err != nil {

resp := CreateResp("", errs.INVALID_PARAMETER, "请提供正确的需求ID")

ctx.JSON(http.StatusBadRequest, &resp)

return

}

doQueryRequirementById(ctx, requirementId)

}

func doQueryRequirementById(context *gin.Context, requirementId int) {

defer func() {

if err := recover(); err != nil {

resp := CreateResp("", errs.UNKNOWN_ERROR, "server internal error")

context.JSON(http.StatusInternalServerError, &resp)

log.Error("QueryRequirementById errors=", err)

}

}()

requirement, err := requirementView.QueryRequirementById(context, requirementId)

responseBodyHandler(context, requirement, err)

}

一般函数不宜函数过长,如太长,建议封装为子函数。

view

view pankage中,是真正的查询逻辑service层,从数据库中查询出数据,然后,进行协议转换,返回给Controller。

// Query requirement by requirement id

func (v *RequirementView) QueryRequirementById(ctx context.Context, requirementId int) (*dto.RequirementDetail, error) {

requirementPo, err := v.requirementDao.QueryRequirement(requirementId)

if err != nil {

return nil, nil

}

requirement :=getRequirementFromPo(requirementPo)

return requirementDetail, nil

}

func (v *RequirementView) getRequirementFromPo(po *po.RequirementPo) *dto.RequirementDetail {

var requirementDetai = dto.RequirementDetail{

Id: po.Id,

Name: po.Name,

Category: categoryName,

Amount: po.Amount,

AmountUnit: po.AmountUnit,

ExpectedDeliveryDate: util.ToTimestamp(po.ExpectedDeliveryDate),

Description: po.Description,

UnitPrice: po.PricePerItem,

DeliveryRhythm: po.DeliveryRhythm,

DeliveryStandard: po.DeliveryStandard,

CheckPeriod: po.CheckPeriod,

}

return &requirementDetai

}

Gateway层

Gateway层

Gateway主要就是提供外部存储的增删改查能力,我们存储采用的mysql,因此,gateway主要就是操作mysql数据库。那么主要就包括Po以及Dao。

Xorm提供了很方便的工具,XORM工具,可以根据数据库表结构,生成相应的Po。这个工具的使用文档也可以参考这篇:使用xorm工具,根据数据库自动生成go代码

本项目生成的的RequirementPo如下:

type RequirementPo struct {

Id int `xorm:"not null pk comment('主键、自增') INT(11)"`

Name string `xorm:"not null default '' comment('需求名称, 最大长度: 50') VARCHAR(100)"`

Description string `xorm:"not null comment('需求描述, 最大长度: 10000') LONGTEXT"`

Status int `xorm:"not null comment('0: 新需求 1:已启动 2:生产中 3:已完成 4:结算中 5:已结算 6:已关闭') INT(11)"`

CategoryId int `xorm:"not null comment('t_horizon_requirement_category 表的对应Id') INT(11)"`

MerchantId string `xorm:"comment('CRM商户ID') index VARCHAR(100)"`

Creator string `xorm:"not null default '' comment('需求创建人') VARCHAR(50)"`

PricePerItem float64 `xorm:"not null comment('需求单价') DOUBLE(16,2)"`

Amount float64 `xorm:"not null comment('需求数据量') DOUBLE(16,2)"`

AmountUnit string `xorm:"not null default '" "' comment('用途:需求数据量单位,取值范围:无') VARCHAR(50)"`

ExpectedDeliveryDate time.Time `xorm:"not null default '1970-01-01 08:00:01' comment('期望交付日期') TIMESTAMP"`

DeliveryRule string `xorm:"not null comment('交付规则') VARCHAR(255)"`

DeliveryStandard string `xorm:"not null comment('交付标准, 最大长度: 10000') TEXT"`

DeliveryRhythm string `xorm:"not null default '" "' comment('用途:交付节奏;取值范围:无') VARCHAR(500)"`

CheckPeriod string `xorm:"not null default '" "' comment('用途:验收周期;取值范围:无') VARCHAR(255)"`

DataVersion int `xorm:"default 0 comment('数据版本, 用于乐观锁') INT(11)"`

Channel string `xorm:"not null default '' comment('创建需求的渠道') VARCHAR(255)"`

CreateTime time.Time `xorm:"not null default '1970-01-01 08:00:01' comment('创建时间') TIMESTAMP"`

}

通过XORM可以很方方便的对数据Po进行增删改查,我的查询接口如下:

func (d *RequirementDao) QueryRequirement(requirementId int) (*po.RequirementPo, error) {

requirement := new(po.RequirementPo)

session := Requirement.Engine().NewSession()

_, err := session.Table("t_requirement").Where("id=?", requirementId).Get(requirement)

if err != nil {

log.Warn("query requirement error", err)

return nil, errs.New(errs.DB_OPERATION_FAILED, "query requirement info fail")

}

return requirement, nil

}

想要了解更多Xorm使用信息,可以查看其文档:xorm Gobook 以及 xorm Godoc

main

最后看一下main package中的类文件职责。

func main() {

r := gin.New()

r.Use(gin.Recovery())

//添加监控

r.Use(MonitorHandler())

//添加身份认证校验

r.use(authenticateHandler())

//restul接口路由

controller.RequirementRouter(r)

r.Run(":" + configuration.Base.Server.Port)

}

ok,这样即一个go的http服务的主要模块,当然还有配置文件类等,这个按照自己喜欢的方法,自行开发加载配置逻辑以及使用网上开源的包均可。

后记

刚接触GO语言不久,还有很长的路要走,加油!

你可能感兴趣的:(go,restful,安全)