Go 后端接口安全与鉴权实践
📚 30章 · 从基础到综合实战
01
安全基础
OWASP
SQL注入
XSS
CSRF
Go安全编码规范
01.html
02
HTTPS与TLS
握手·证书
TLS握手原理 · 自签名证书 · 双向TLS认证
02.html
03
密码学基础
crypto
SHA-256
bcrypt
AES
RSA
Go crypto库
03.html
04
JWT原理
jwt-go
Header·Payload·Signature · Access/Refresh Token
04.html
05
JWT实战
登录·刷新
用户登录 · Token刷新 · 黑名单 · 最佳实践
05.html
06
OAuth 2.0基础
授权模式
四种授权模式 · 授权码 · Client Credentials
06.html
07
OAuth 2.0实战
GitHub登录
第三方登录 · State防CSRF · Token交换
07.html
08
API Key鉴权
HMAC
Key生成 · HMAC-SHA256签名 · 时间戳防重放
08.html
09
Session与Cookie
gorilla/session
Session原理 · HttpOnly/Secure/SameSite
09.html
10
RBAC权限模型
角色·权限
用户/角色/权限 · RBAC中间件 · 动态校验
10.html
11
ABAC权限模型
属性引擎
ABAC vs RBAC · 用户/资源/环境属性
11.html
12
中间件链
HandlerFunc
鉴权中间件 · 日志组合 · context传递用户
12.html
13
速率限制
令牌桶
令牌桶/漏桶 · IP/用户限流 · x/time/rate
13.html
14
CORS与CSRF
rs/cors
CORS原理 · CSRF Token · Double Submit Cookie
14.html
15
输入验证
validator
go-playground/validator · SQL注入防护 · XSS过滤
15.html
16
安全日志
logrus/zap
日志分级 · 敏感脱敏 · 审计日志设计
16.html
17
密钥管理
Vault
环境变量 · Vault集成 · AWS Secrets Manager
17.html
18
安全配置
viper
配置文件加密 · CORS白名单 · TLS最佳实践
18.html
19
gRPC安全
TLS·拦截器
gRPC TLS · 鉴权拦截器 · 双向TLS认证
19.html
20
GraphQL安全
gqlgen
鉴权中间件 · 查询深度限制 · 速率限制
20.html
21
微服务安全
mTLS·JWT
服务间mTLS · JWT传递 · API Gateway鉴权
21.html
22
安全测试
gosec
渗透测试 · SQLMap · Burp Suite · Go安全工具
22.html
23
依赖安全
snyk
Go Modules · 漏洞扫描 · SBOM生成
23.html
24
安全部署
K8s·cert-manager
Docker安全 · K8s网络策略 · TLS自动续期
24.html
25
安全监控
Prometheus
指标暴露 · 告警规则 · ELK日志分析
25.html
26
数据加密
AES-256-GCM
数据库加密 · 字段级加密 · 传输加密
26.html
27
安全头
HSTS·CSP
HTTP安全头 · 安全头中间件 · CSP策略
27.html
28
身份认证
MFA·TOTP
多因素认证 · TOTP实现 · WebAuthn基础
28.html
29
安全审计
Go vet
代码审计 · 整数溢出 · 竞态 · staticcheck
29.html
30
综合实战
安全REST API
注册·登录·鉴权·RBAC·限流·日志·HTTPS
30.html