如何在 Go 中解析并验证 HTTP Basic Auth 凭据

本文详解如何在 go Web 服务中（配合自定义中间件与标准库）安全提取、解析 Authorization 头中的 Basic 认证凭据，并基于 public_key/private_key 进行灵活校验。

本文详解如何在 go web 服务中（配合自定义中间件与标准库）安全提取、解析 authorization 头中的 basic 认证凭据，并基于 `public_key`/`private_key` 进行灵活校验。

在构建 restful API 时，Basic Authentication 是一种轻量且广泛支持的认证方式。尽管它不适用于高敏感场景（需搭配 httpS），但在内部服务、管理接口或原型开发中仍具实用价值。Go 标准库 net/http 提供了开箱即用的 Request.BasicAuth() 方法，可自动解码 Authorization: Basic 头，无需手动 Base64 解码与字符串分割。

以下是一个完整、生产就绪的中间件实现示例，适配您当前使用的 alice 链式中间件与 julienschmidt/httprouter 路由器：

import (     "net/http"     "strings" )  func basicAuthHandler(next http.Handler) http.Handler {     return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {         // 调用标准库方法解析 Basic Auth 凭据         user, password, ok := r.BasicAuth()         if !ok {             http.Error(w, "Missing or invalid Authorization header", http.StatusUnauthorized)             return         }          // 此处执行业务逻辑校验：user 为 public_key，password 为 private_key（可选）         // 注意：空 password 是合法的（如仅需 public_key 认证）         if !isValidPublicKey(user) {             http.Error(w, "Invalid public_key", http.StatusUnauthorized)             return         }          // 若客户端提供了 private_key（非空），则额外校验         if password != "" && !isValidPrivateKey(user, password) {             http.Error(w, "Invalid private_key for given public_key", http.StatusUnauthorized)             return         }          // 校验通过，继续处理后续 Handler         next.ServeHTTP(w, r)     }) }  // 示例校验函数（请替换为实际数据库查询逻辑） func isValidPublicKey(key string) bool {     // 示例：检查 key 是否存在于缓存或 DB 中     return strings.HasPrefix(key, "pk_") // 仅示意，实际应查 MongoDB 或其他存储 }  func isValidPrivateKey(pubKey, privKey string) bool {     // 示例：根据 public_key 查找对应 private_key 并比对     // 注意：生产环境切勿明文比对；应使用 bcrypt/hmac 等安全哈希方式校验     return strings.HasPrefix(privKey, "sk_") && len(privKey) > 10 }

✅ 关键注意事项：

• r.BasicAuth() 自动处理 Base64 解码与冒号分隔，返回解码后的用户名（public_key）和密码（private_key），无需手动解析 Authorization 头字符串；
• 若请求头缺失、格式错误（如非 Basic xxx）、或 Base64 解码失败，ok 将为 false，此时应统一返回 401 Unauthorized；
• password 字段可能为空字符串（例如仅需 public_key 的只读接口），因此校验逻辑需显式区分 password != “” 场景；
• 安全警示：Basic Auth 凭据在传输中是 Base64 编码（非加密），务必强制使用 https；后端存储 private_key 时严禁明文保存，应使用 bcrypt 或 argon2 哈希；
• 若需更细粒度控制（如 Realm 设置、响应头 WWW-Authenticate），可自行构造 401 响应并添加 w.Header().Set(“WWW-Authenticate”, “Basic realm=”API””)。

将该中间件接入您的现有链路后，所有经由 basicAuthHandler 的请求都将完成凭据提取与前置校验，确保 mainHandler 接收到的请求已通过身份验证——既简洁又符合 Go 的惯用风格。