东莞市建设网站培训,一网一平台是什么,怎么网站建设怎么样,甘肃建设项目公示网站Gin CORS 跨域请求资源共享与中间件 文章目录 Gin CORS 跨域请求资源共享与中间件一、同源策略1.1 什么是浏览器的同源策略#xff1f;1.2 同源策略判依据1.3 跨域问题三种解决方案 二、CORS:跨域资源共享简介(后端技术)三 CORS基本流程1.CORS请求分类2.基本流程 四、CORS两种…Gin CORS 跨域请求资源共享与中间件 文章目录 Gin CORS 跨域请求资源共享与中间件一、同源策略1.1 什么是浏览器的同源策略1.2 同源策略判依据1.3 跨域问题三种解决方案 二、CORS:跨域资源共享简介(后端技术)三 CORS基本流程1.CORS请求分类2.基本流程 四、CORS两种请求详解1.两种请求详解2.解决跨域问题浏览器对于这两种请求的处理 五、Gin 中间件5.1 中间件介绍5.2 初识中间件5.3 c.Next()5.4 多个中间件执行顺序5.5 c.Abort()5.6 全局中间件与局部中间件5.7 中间件和视图函数之间共享数据5.8 在路由分组中配置中间件5.9 中间件解决跨域5.10 中间件注意事项5.10.1 Gin 默认中间件5.10.2 gin中间件中使用 **goroutine** 六、Gin 框架跨域问题解决5.1 安装5.2 导入5.3 直接设置跨域参数一般用这个5.4 使用DefaultConfig作为起点5.5 Default允许所有来源 一、同源策略
1.1 什么是浏览器的同源策略
同源策略Same origin policy是一种约定它是浏览器最核心也最基本的安全功能如果缺少了同源策略则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的浏览器只是针对同源策略的一种实现浏览器最基本的安全策略浏览器只能接收相同域IP地址端口返回的数据
1.2 同源策略判依据
请求的url地址,必须与浏览器上的url地址处于同域上,也就是域名,端口,协议相同只要协议、域名和端口任意一个不同都是跨域请求。 比如: 我在本地上的域名是127.0.0.1:8000,请求另外一个域名127.0.0.1:8001一段数据浏览器上就会报错这个就是同源策略的保护,如果浏览器对javascript没有同源策略的保护,那么一些重要的机密网站将会很危险已拦截跨源请求同源策略禁止读取位于http://127.0.0.1:8001/SendAjax/的远程资源。原因CORS 头缺少 Access-Control-Allow-Origin但是注意项目2中的访问已经发生了说明是浏览器对非同源请求返回的结果做了拦截 所以就导致了向不同域发请求就会出现跨域问题被浏览器阻止了正常来说如果我们不做额外处理是没办法这么发请求的。 1.3 跨域问题三种解决方案
CORS跨域资源共享后端技术主流采用的方案使用第三方插件前端代理只能在测试阶段使用node起了一个服务正向代理jsonp只能解决get请求跨域本质原理使用了某些标签不限制跨域(img,script)
二、CORS:跨域资源共享简介(后端技术)
CORS需要浏览器和服务器同时支持。目前所有浏览器都支持该功能IE浏览器不能低于IE10。
整个CORS通信过程都是浏览器自动完成不需要用户参与。对于开发者来说CORS通信与同源的AJAX通信没有差别代码完全一样。浏览器一旦发现AJAX请求跨源就会自动添加一些附加的头信息有时还会多出一次附加的请求但用户不会有感觉。
因此实现CORS通信的关键是服务器。只要服务器实现了CORS接口就可以跨源通信。
三 CORS基本流程
1.CORS请求分类 简单请求 (simple request)简单请求只发一次 非简单请求 (not-so-simple request)发送两次第一次是options请求第二次是真正的请求
2.基本流程
浏览器发出CORS简单请求只需要在头信息之中增加一个Origin字段。浏览器发出CORS非简单请求会在正式通信之前增加一次HTTP查询请求称为预检请求preflight。浏览器先询问服务器当前网页所在的域名是否在服务器的许可名单之中以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复浏览器才会发出正式的XMLHttpRequest请求否则就报错。
四、CORS两种请求详解
1.两种请求详解
只要同时满足以下两大条件就属于简单请求
请求方法是以下三种方法之一 HEADGETPOST HTTP的头信息不超出以下几种字段 AcceptAccept-LanguageContent-LanguageLast-Event-IDContent-Type只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
凡是不同时满足上面两个条件就属于非简单请求
浏览器对这两种请求的处理是不一样的。 简单请求和非简单请求的区别 简单请求 一次请求非简单请求两次请求在发送数据之前会先发一次请求用于做“预检”只有“预检”通过后才再发送一次请求用于数据传输。 关于“预检” 请求方式OPTIONS“预检”其实做检查检查如果通过则允许传输数据检查不通过则不再发送真正想要发送的消息 如何“预检” 如果复杂请求是PUT等请求则服务端需要设置允许某请求否则“预检”不通过Access-Control-Allow-Methods 如果复杂请求设置了请求头则服务端需要设置允许某请求头否则“预检”不通过Access-Control-Allow-Headers 2.解决跨域问题浏览器对于这两种请求的处理
支持跨域简单请求
服务器设置响应头Access-Control-Allow-Origin ‘域名’ 或 ‘*’
支持跨域复杂请求 非简单请求需要判断是否是options请求 由于复杂请求时首先会发送“预检”请求如果“预检”成功则发送真实数据。
“预检”请求时允许请求方式则需服务器设置响应头Access-Control-Allow-Methods“预检”请求时允许请求头则需服务器设置响应头 Access-Control-Allow-Headers
五、Gin 中间件
在Gin框架中中间件Middleware是一种允许在请求到达处理程序之前或之后执行一些逻辑的机制。中间件允许你在处理请求的过程中插入一些代码例如验证请求、记录日志、处理跨域等。
5.1 中间件介绍
中间件是Gin框架的一个关键概念。它是一个函数接受gin.Context作为参数可以在请求到达处理程序之前或之后执行一些逻辑。中间件允许你在请求处理过程中执行预处理或后处理的操作。
5.2 初识中间件
在Gin框架中使用Use方法可以注册一个全局中间件它将应用于所有路由。例如
package mainimport (fmtgithub.com/gin-gonic/ginnet/http
)func LoggerMiddleware(c *gin.Context) {// 在请求处理之前执行的逻辑fmt.Println(Start Logging)// 将请求传递给下一个处理程序c.Next()// 在请求处理之后执行的逻辑fmt.Println(End Logging)
}func main() {r : gin.Default()// 注册全局中间件r.Use(LoggerMiddleware)// 定义路由r.GET(/, func(c *gin.Context) {c.String(http.StatusOK, Hello, Gin!)})r.Run(:8080)
}在上述例子中LoggerMiddleware是一个简单的中间件用于记录请求日志。通过使用Use方法我们将这个中间件注册为全局中间件它将应用于所有的路由。
查看Use方法源码如下 综上所以中间件必须是一个 gin.HandlerFunc 类型配置路由的时候可以传递多个 func 回调函数。
5.3 c.Next()
在中间件中通过调用c.Next()可以将请求传递给下一个处理程序。这是一个重要的步骤如果你忘记调用c.Next()那么请求将不会继续传递给后续的中间件或路由处理程序。
package mainimport (fmtgithub.com/gin-gonic/gintime
)// 写一个中间件统计视图函数运行时间
func totalTime(c *gin.Context) {start : time.Now()c.Next() //继续往后执行end : time.Now()fmt.Println(视图函数运行时间为, end.Sub(start))
}
func main() {r : gin.Default()// 把中间件函数加在视图函数之前r.GET(/, totalTime, func(c *gin.Context) {time.Sleep(time.Second * 2)c.String(200, helloGin!)})r.Run()
}5.4 多个中间件执行顺序
如果你有多个中间件它们将按照注册的顺序执行。在上述例子中如果我们有多个全局中间件它们将按照注册的顺序依次执行。
func Middleware1(c *gin.Context) {fmt.Println(Middleware 1 - Start)c.Next()fmt.Println(Middleware 1 - End)
}func Middleware2(c *gin.Context) {fmt.Println(Middleware 2 - Start)c.Next()fmt.Println(Middleware 2 - End)
}func main() {r : gin.Default()// 注册全局中间件按照注册顺序执行r.Use(Middleware1)r.Use(Middleware2)r.GET(/hello, func(c *gin.Context) {c.String(http.StatusOK, Hello, Gin!)})r.Run(:8080)
}输出结果如下
Middleware 1 - Start
Middleware 2 - Start
Middleware 2 - End
Middleware 1 - End5.5 c.Abort()
在中间件中通过调用c.Abort()可以终止请求链不再执行后续的中间件或路由处理程序。这通常是在中间件中检测到错误或条件不满足时使用的。
package mainimport (github.com/gin-gonic/ginnet/http
)func isValidAuth(authorizationHeader string) bool {// 在这里实现你的身份验证逻辑// 例如你可能验证一个令牌或检查凭证// 如果身份验证成功返回 true否则返回 falsereturn true
}func AuthMiddleware(c *gin.Context) {// 检查是否有有效的 Authorization 头if authorizationHeader : c.GetHeader(Authorization); authorizationHeader {// 如果 Authorization 头缺失返回未授权状态c.AbortWithStatus(http.StatusUnauthorized)return}// 检查使用你的自定义逻辑提供的身份验证是否有效if !isValidAuth(c.GetHeader(Authorization)) {// 如果身份验证失败返回未授权状态c.AbortWithStatus(http.StatusUnauthorized)return}// 如果身份验证成功继续执行下一个中间件或路由处理程序c.Next()
}func main() {r : gin.Default()// 应用 AuthMiddleware 以保护 /protected 路由r.GET(/protected, AuthMiddleware, func(c *gin.Context) {// 只有在 AuthMiddleware 允许请求继续时才会执行此处理程序c.String(http.StatusOK, 你有权访问受保护的路由)})r.Run(:8080)
}
5.6 全局中间件与局部中间件
全局中间件是通过Use方法注册的它将应用于所有路由。局部中间件是在定义单个路由时附加的。
package mainimport (fmtgithub.com/gin-gonic/ginnet/http
)// GlobalMiddleware1 全局中间件1
func GlobalMiddleware1(c *gin.Context) {c.Header(X-Global-Middleware-1, Applied)fmt.Printf(GlobalMiddleware1\n)c.Next()
}// GlobalMiddleware2 全局中间件2
func GlobalMiddleware2(c *gin.Context) {c.Header(X-Global-Middleware-2, Applied)fmt.Printf(GlobalMiddleware2\n)c.Next()
}// LocalMiddleware3 局部中间件3
func LocalMiddleware3(c *gin.Context) {c.Header(X-Local-Middleware-3, Applied)fmt.Printf(LocalMiddleware3\n)c.Next()
}func main() {// 创建一个新的 Gin 引擎r : gin.New()// 使用全局中间件1r.Use(GlobalMiddleware1)// 使用全局中间件2r.Use(GlobalMiddleware2)r.GET(/, func(c *gin.Context) {c.String(http.StatusOK, Hello,Gin!)})// 定义一个路由组并在路由组中使用局部中间件3apiGroup : r.Group(/api)apiGroup.Use(LocalMiddleware3)// 路由1将同时应用全局中间件1、全局中间件2以及局部中间件3apiGroup.GET(/endpoint1, func(c *gin.Context) {c.String(http.StatusOK, Endpoint 1)})// 路由2将同时应用全局中间件1、全局中间件2r.GET(/endpoint2, func(c *gin.Context) {c.String(http.StatusOK, Endpoint 2)})// 启动服务器r.Run(:8080)
}5.7 中间件和视图函数之间共享数据
在中间件和视图函数之间共享数据可以使用c.Set和c.Get方法。
package mainimport (fmtgithub.com/gin-gonic/ginnet/http
)func CustomMiddleware(c *gin.Context) {// 在中间件中设置数据c.Set(userID, 123)// 继续执行下一个中间件或路由处理程序c.Next()
}func ProtectedRouteHandler(c *gin.Context) {// 从上一个中间件中获取数据userID, exists : c.Get(userID)if !exists {// 如果数据不存在返回错误响应c.String(http.StatusInternalServerError, 无法获取用户信息)return}// 数据存在继续处理c.String(http.StatusOK, fmt.Sprintf(用户ID%v你有权访问受保护的路由, userID))
}func main() {r : gin.Default()// 应用 CustomMiddleware 中间件以设置数据r.Use(CustomMiddleware)// 设置保护路由r.GET(/protected, ProtectedRouteHandler)r.Run(:8080)
}5.8 在路由分组中配置中间件
在Gin框架中你可以使用路由分组将中间件应用于一组相关的路由。这样你可以更清晰地组织你的中间件和路由。
func LoggerMiddleware(c *gin.Context) {fmt.Println(Request Log)c.Next()
}func AuthMiddleware(c *gin.Context) {// 检查是否有有效的身份验证信息if !isValidAuth(c.GetHeader(Authorization)) {c.AbortWithStatus(http.StatusUnauthorized)return}c.Next()
}func main() {r : gin.Default()// 创建一个路由分组并将中间件应用于该分组中的所有路由apiGroup : r.Group(/api, LoggerMiddleware, AuthMiddleware)apiGroup.GET(/users, func(c *gin.Context) {c.String(http.StatusOK, List of Users)})apiGroup.GET(/products, func(c *gin.Context) {c.String(http.StatusOK, List of Products)})r.Run(:8080)
}5.9 中间件解决跨域
下面是一个简单的例子
package mainimport (github.com/gin-gonic/ginnet/http
)func main() {r : gin.Default()// 使用中间件处理跨域问题r.Use(CORSMiddleware())// 其他路由注册r.GET(/hello, func(c *gin.Context) {c.JSON(http.StatusOK, gin.H{message: Hello, CORS is enabled!})})// 启动 Gin 服务器r.Run(:8080)
}// CORSMiddleware 中间件处理跨域问题
func CORSMiddleware() gin.HandlerFunc {return func(c *gin.Context) {c.Writer.Header().Set(Access-Control-Allow-Origin, *)c.Writer.Header().Set(Access-Control-Allow-Credentials, true)c.Writer.Header().Set(Access-Control-Allow-Methods, POST, GET, OPTIONS, PUT, DELETE)c.Writer.Header().Set(Access-Control-Allow-Headers, Origin, Content-Type, Content-Length, Accept-Encoding, X-CSRF-Token, Authorization)if c.Request.Method OPTIONS {c.AbortWithStatus(204)return}c.Next()}
}
在上述例子中CORSMiddleware函数返回一个用于处理跨域的中间件。通过将该中间件注册到Gin框架中可以轻松地解决跨域问题。
5.10 中间件注意事项
5.10.1 Gin 默认中间件
gin.Default()默认使用了 Logger 和 Recovery 中间件其中: Logger 中间件将日志写入 gin.DefaultWriter即使配置了 GIN_MODErelease。 Recovery 中间件会 recover 任何 panic。如果有 panic 的话会写入 500 响应码。 如果不想使用上面两个默认的中间件可以使用 gin.New()新建一个没有任何默认中间件的 路由。
5.10.2 gin中间件中使用 goroutine
当在中间件或 handler 中启动新的 goroutine 时不能使用原始的上下文(c *gin.Context) 必须使用其只读副本(c.Copy())
r.GET(/, func(c *gin.Context) {cCp : c.Copy()go func() {// simulate a long task with time.Sleep(). 5 seconds time.Sleep(5 * time.Second)// 这里使用你创建的副本fmt.Println(Done! in path cCp.Request.URL.Path)}()c.String(200, 首页)})六、Gin 框架跨域问题解决
目前大多数的 Web 框架都提供了 CORS 的解决方案。Gin 也不例外Gin 里面也提供了一个 middleware 实现来解决跨域问题打开如下Gin 中间件插件库合集
https://github.com/gin-gonic/contrib找到cors 文件夹 进入后会提示此软件包已于2016-12-07放弃。请改用gin-contrib/cors。点击进入最新的即可。 GitHub 地址https://github.com/gin-contrib/cors
5.1 安装
go get github.com/gin-contrib/cors5.2 导入
import github.com/gin-contrib/cors5.3 直接设置跨域参数一般用这个
package mainimport (github.com/gin-contrib/corsgithub.com/gin-gonic/ginstringstime
)func main() {// 创建一个默认的 Gin 实例server : gin.Default()// 使用 CORS 中间件处理跨域问题配置 CORS 参数server.Use(cors.New(cors.Config{// 允许的源地址CORS中的Access-Control-Allow-Origin// AllowOrigins: []string{https://foo.com},// 允许的 HTTP 方法CORS中的Access-Control-Allow-MethodsAllowMethods: []string{PUT, PATCH},// 允许的 HTTP 头部CORS中的Access-Control-Allow-HeadersAllowHeaders: []string{Origin},// 暴露的 HTTP 头部CORS中的Access-Control-Expose-HeadersExposeHeaders: []string{Content-Length},// 是否允许携带身份凭证CORS中的Access-Control-Allow-CredentialsAllowCredentials: true,// 允许源的自定义判断函数返回true表示允许false表示不允许AllowOriginFunc: func(origin string) bool {if strings.HasPrefix(origin, http://localhost) {// 允许你的开发环境return true}// 允许包含 yourcompany.com 的源return strings.Contains(origin, yourcompany.com)},// 用于缓存预检请求结果的最大时间CORS中的Access-Control-Max-AgeMaxAge: 12 * time.Hour,}))// 启动 Gin 服务器监听在 0.0.0.0:8080 上server.Run(:8080)
}
5.4 使用DefaultConfig作为起点
func main() {router : gin.Default()// - No origin allowed by default// - GET,POST, PUT, HEAD methods// - Credentials share disabled// - Preflight requests cached for 12 hoursconfig : cors.DefaultConfig()config.AllowOrigins []string{http://google.com}// config.AllowOrigins []string{http://google.com, http://facebook.com}// config.AllowAllOrigins truerouter.Use(cors.New(config))router.Run()
}**注意**虽然 Default() 允许所有来源但 DefaultConfig() 不允许您仍然必须使用 AllowAllOriins。
5.5 Default允许所有来源
func main() {router : gin.Default()// same as// config : cors.DefaultConfig()// config.AllowAllOrigins true// router.Use(cors.New(config))router.Use(cors.Default())router.Run()
}使用所有来源会禁用 Gin 为客户端设置 cookie 的能力。处理凭据时不要允许所有来源。
