ARTYOM_GANEEV/auth-service
1
0
Fork 0
Code Issues 1 Pull Requests Actions Packages Projects Releases Wiki Activity

Переход на использование переменных окружения для секретов

Browse Source 
Безопасность:
- Секреты (токены JWT, пароль БД) теперь читаются из переменных окружения
- Удалены секретные данные из application.yaml
- Добавлен .env.example для документации
- .env уже в .gitignore

Изменения:
- Обновлен config.go для загрузки переменных окружения
- Добавлена библиотека godotenv для удобной работы с .env
- Добавлена валидация обязательных переменных окружения
- Поддержка переопределения любых настроек через env

Обязательные переменные окружения:
- DB_PASSWORD - пароль базы данных
- ACCESS_TOKEN_SECRET - секрет для access токенов
- REFRESH_TOKEN_SECRET - секрет для refresh токенов

Опциональные переопределения:
- DB_HOST, DB_PORT, DB_NAME, DB_USER
- ACCESS_TOKEN_TTL_MINUTES, REFRESH_TOKEN_TTL_MINUTES
- SERVER_PORT

Документация:
- Добавлен README.md с полной документацией API
- Описание структуры проекта
- Инструкции по настройке и запуску
- Примеры использования API

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>
This commit is contained in:
Ганеев Артем
2025-10-28 21:30:12 +03:00
parent 397dad830f
commit 83910be95d
4 changed files with 375 additions and 2 deletions
Download Patch File Download Diff File Expand all files Collapse all files

18
.env.example Normal file
View File

@@ -0,0 +1,18 @@
# Database Configuration
DB_PASSWORD=postgres
DB_HOST=localhost
DB_PORT=5432
DB_USER=postgres
DB_NAME=authorization
# JWT Tokens (ВАЖНО: Сгенерируйте сложные случайные строки!)
# Можно использовать: openssl rand -base64 32
ACCESS_TOKEN_SECRET=kdfmklsdlmk;asdmkl;ds
REFRESH_TOKEN_SECRET=asdflmkasdfklmsdafklm
# Token TTL (optional, defaults from application.yaml)
# ACCESS_TOKEN_TTL_MINUTES=15
# REFRESH_TOKEN_TTL_MINUTES=90
# Server (optional)
# SERVER_PORT=8081

273
README.md Normal file
View File

@@ -0,0 +1,273 @@
# Authorization Service
Сервис авторизации и аутентификации с использованием JWT токенов.
## Возможности
- Регистрация и аутентификация пользователей
- JWT токены (Access и Refresh)
- Проверка срока истечения токенов
- Обновление токенов через Refresh Token
- Ролевая система доступа (Student, Teacher, Admin)
- Гибкая система middleware для авторизации
## Технологии
- Go 1.21+
- PostgreSQL
- Gin Web Framework
- JWT (golang-jwt/jwt)
- YAML конфигурация
- Переменные окружения для секретов
## Быстрый старт
### 1. Клонирование репозитория
```bash
git clone <repository-url>
cd authorization
```
### 2. Настройка переменных окружения
Скопируйте `.env.example` в `.env` и заполните своими значениями:
```bash
cp .env.example .env
```
Отредактируйте `.env`:
```env
# Database
DB_PASSWORD=your_secure_password
DB_HOST=localhost
DB_PORT=5432
DB_USER=postgres
DB_NAME=authorization
# JWT Secrets (ВАЖНО: Используйте сложные случайные строки!)
# Генерация: openssl rand -base64 32
ACCESS_TOKEN_SECRET=your_access_token_secret_here
REFRESH_TOKEN_SECRET=your_refresh_token_secret_here
```
### 3. Настройка базы данных
Запустите PostgreSQL через Docker:
```bash
docker-compose up -d
```
Или вручную создайте базу данных:
```sql
CREATE DATABASE authorization;
```
Примените миграции:
```bash
# Используйте migrate CLI или запустите SQL скрипты из schema/
```
### 4. Установка зависимостей
```bash
go mod download
```
### 5. Запуск приложения
```bash
go run cmd/main.go
```
Сервер запустится на `http://localhost:8081`
## API Эндпоинты
### Публичные (без авторизации)
#### Регистрация
```http
POST /auth-service/auth/sign-up
Content-Type: application/json
{
"name": "John Doe",
"username": "john",
"password": "securepassword"
}
```
#### Вход
```http
POST /auth-service/auth/sign-in
Content-Type: application/json
{
"username": "john",
"password": "securepassword"
}
```
Ответ:
```json
{
"accessToken": "eyJhbGc...",
"refreshToken": "eyJhbGc..."
}
```
#### Обновление токена
```http
POST /auth-service/auth/refresh
Content-Type: application/json
{
"refreshToken": "eyJhbGc..."
}
```
### Защищенные эндпоинты
Все запросы должны содержать заголовок:
```
Authorization: Bearer <access_token>
```
#### Получить всех пользователей (любой авторизованный)
```http
GET /auth-service/api/users
Authorization: Bearer <token>
```
#### Получить пользователя по username (любой авторизованный)
```http
GET /auth-service/api/users/:username
Authorization: Bearer <token>
```
#### Изменить роль пользователя (только Admin)
```http
POST /auth-service/api/users/:username
Authorization: Bearer <admin_token>
Content-Type: application/json
{
"role": "teacher"
}
```
#### Удалить пользователя (только Admin)
```http
DELETE /auth-service/api/users/:username
Authorization: Bearer <admin_token>
```
## Роли
- `student` - базовая роль
- `teacher` - роль преподавателя
- `admin` - административная роль
## Система авторизации
Проект использует двухуровневую систему middleware:
1. **userIdentity** - базовый middleware, проверяет валидность токена
2. **requireRole** - проверяет роль пользователя
Примеры:
```go
// Все авторизованные
users.GET("", h.getAllUsers)
// Только учителя и админы
users.PUT("/:id", h.requireTeacher(), h.updateUser)
// Только админы
users.DELETE("/:id", h.requireAdmin(), h.deleteUser)
```
## Структура проекта
```
authorization/
├── cmd/
│ └── main.go # Точка входа
├── internal/
│ ├── config/ # Конфигурация
│ ├── handler/ # HTTP handlers
│ │ ├── auth.go
│ │ ├── middleware.go # Middleware авторизации
│ │ └── users.go
│ ├── repository/ # Слой БД
│ └── service/ # Бизнес-логика
│ ├── auth.go
│ └── auth_test.go
├── configs/
│ └── application.yaml # Конфигурация (без секретов!)
├── schema/ # SQL миграции
├── .env # Переменные окружения (НЕ коммитить!)
├── .env.example # Пример .env
└── docker-compose.yaml # Docker конфигурация
```
## Переменные окружения
### Обязательные
- `DB_PASSWORD` - пароль БД
- `ACCESS_TOKEN_SECRET` - секрет для access токенов
- `REFRESH_TOKEN_SECRET` - секрет для refresh токенов
### Опциональные
- `DB_HOST` - хост БД (default: localhost)
- `DB_PORT` - порт БД (default: 5432)
- `DB_USER` - пользователь БД (default: postgres)
- `DB_NAME` - имя БД (default: authorization)
- `SERVER_PORT` - порт сервера (default: 8081)
- `ACCESS_TOKEN_TTL_MINUTES` - время жизни access токена (default: 15)
- `REFRESH_TOKEN_TTL_MINUTES` - время жизни refresh токена (default: 90)
## Безопасность
⚠️ **ВАЖНО:**
1. Никогда не коммитьте файл `.env` в репозиторий
2. Используйте сложные случайные строки для токенов
3. Генерация секретов: `openssl rand -base64 32`
4. В продакшене используйте HTTPS
5. Регулярно ротируйте секреты
## Разработка
### Запуск тестов
```bash
go test ./...
```
### Запуск с hot reload
```bash
air
```
## Docker
Запуск всего стека (app + postgres):
```bash
docker-compose up
```
## Лицензия
MIT

10
configs/application.yaml
View File

@@ -1,15 +1,21 @@
# Конфигурация сервера авторизации
# ВАЖНО: Секретные данные (пароли, токены) должны быть в .env файле!
server:
port: 8081
db:
username: postgres
host: localhost
port: 5432
sslmode: disable
dbname: authorization
# password читается из переменной окружения DB_PASSWORD
token:
accessToken:
TTL-in-min: 15
secretWord: kdfmklsdlmk;asdmkl;ds
# secretWord читается из переменной окружения ACCESS_TOKEN_SECRET
refreshToken:
TTL-in-min: 90
secretWord: asdflmkasdfklmsdafklm
# secretWord читается из переменной окружения REFRESH_TOKEN_SECRET

76
internal/config/config.go
View File

@@ -1,8 +1,11 @@
package config
import (
"fmt"
"os"
"strconv"
"github.com/joho/godotenv"
"gopkg.in/yaml.v3"
)
@@ -18,6 +21,7 @@ type ServerConfig struct {
type DatabaseConfig struct {
Username string `yaml:"username" json:"username"`
Password string // Из переменной окружения, не из YAML
Host string `yaml:"host" json:"host"`
Port string `yaml:"port" json:"port"`
Sslmode string `yaml:"sslmode" json:"sslmode"`
@@ -25,8 +29,12 @@ type DatabaseConfig struct {
}
func LoadConfig(absolutePath string) (*Config, error) {
// Загружаем .env файл (игнорируем ошибку, если файла нет)
_ = godotenv.Load()
config := &Config{}
// Читаем базовую конфигурацию из YAML (без секретов)
file, err := os.Open(absolutePath)
if err != nil {
return nil, err
@@ -38,5 +46,73 @@ func LoadConfig(absolutePath string) (*Config, error) {
return nil, err
}
// Переопределяем секретные данные из переменных окружения
if err := loadFromEnv(config); err != nil {
return nil, err
}
return config, nil
}
// loadFromEnv загружает секретные данные из переменных окружения
func loadFromEnv(config *Config) error {
// Пароль БД (обязательный)
dbPassword := os.Getenv("DB_PASSWORD")
if dbPassword == "" {
return fmt.Errorf("DB_PASSWORD environment variable is required")
}
config.DB.Password = dbPassword
// Access Token Secret (обязательный)
accessTokenSecret := os.Getenv("ACCESS_TOKEN_SECRET")
if accessTokenSecret == "" {
return fmt.Errorf("ACCESS_TOKEN_SECRET environment variable is required")
}
config.Token.AccessToken.SecretWord = accessTokenSecret
// Refresh Token Secret (обязательный)
refreshTokenSecret := os.Getenv("REFRESH_TOKEN_SECRET")
if refreshTokenSecret == "" {
return fmt.Errorf("REFRESH_TOKEN_SECRET environment variable is required")
}
config.Token.RefreshToken.SecretWord = refreshTokenSecret
// Опциональные переопределения (если заданы в env)
if accessTTL := os.Getenv("ACCESS_TOKEN_TTL_MINUTES"); accessTTL != "" {
ttl, err := strconv.Atoi(accessTTL)
if err != nil {
return fmt.Errorf("invalid ACCESS_TOKEN_TTL_MINUTES: %w", err)
}
config.Token.AccessToken.TTLInMinutes = ttl
}
if refreshTTL := os.Getenv("REFRESH_TOKEN_TTL_MINUTES"); refreshTTL != "" {
ttl, err := strconv.Atoi(refreshTTL)
if err != nil {
return fmt.Errorf("invalid REFRESH_TOKEN_TTL_MINUTES: %w", err)
}
config.Token.RefreshToken.TTLInMinutes = ttl
}
if dbHost := os.Getenv("DB_HOST"); dbHost != "" {
config.DB.Host = dbHost
}
if dbPort := os.Getenv("DB_PORT"); dbPort != "" {
config.DB.Port = dbPort
}
if dbName := os.Getenv("DB_NAME"); dbName != "" {
config.DB.DBname = dbName
}
if dbUser := os.Getenv("DB_USER"); dbUser != "" {
config.DB.Username = dbUser
}
if serverPort := os.Getenv("SERVER_PORT"); serverPort != "" {
config.Server.Port = serverPort
}
return nil
}