任务
内容
todo的权限检查
因为todo是用户的独立数据,需要登录后使用。权限检查在获取userId的函数getTodoUserID中(第62行)
getTodoUserID具体如下
认证过程
1.fetch函数发送请求中的header中有'Authorization'字样,里面储存着token。
2.到达服务器后,http.ListenAndServe自动创建*http.Request(包含:Method, URL, Header, Body)
3.路由匹配后执行的函数是,AuthMiddleware(GetTodos),AuthMiddleware(GetTodos),就是返回一个匿名函数这个函数的构造大概是这样
Go
func AuthMiddleware(next http.HandlerFunc) http.HandlerFunc{
return func(w http.ResponseWriter, r *http.Request){
checktoken()
next.ServeHTTP(w, r.WithContext(ctx))
}
}可以看到中间件给原函数封装了一个checktoken()的功能,在这个函数内部就会从http.Request中取header中的'Authorization'中的token并验证,验证通过了会把http.Request中的context()更新填入userid字段,
userid是主键,可以锁定究竟是哪一个用户,具有唯一性质,实现数据隔离
context的存值与*http Request的关系
context是存在于*http Request中一个请求级的书包,里面可以储存信息,在链式调用中传递信息
核心代码如下
Go
ctx := context.WithValue(r.Context(), "userID", userID)
r = r.WithContext(ctx) // r 现在是"加强版",带了 userID如果我们把context当做一个书包,这里相当于创建了一个新的context,取名为ctx,书包(context)里加了userid的信息。
withvalue都是创建新的节点,创建新的context,而不是在原本的context上更新,并与之前的context形成链式结构。
我们说withvalue是创建一个的context那么旧的context储存的信息就跟他没关系了,所以我们需要用链路连起来,以保上一层的context存入的信息可以保存,当然其他场景还有其他的作用。
r = r.WithContext(ctx) ,这里也是创建一个新的r,里面的context是整个context链路
相当于只要有变化,Go语言都倾向于独立再用一个请求,而不是更新旧的。Go具有"不可变性"(只独立再创建,不改变)
这样做的好处有几点
1.并发安全
如果一个网页的流量大,使用的人多,在同一个短时间内可能会出现多个请求的情况,如果这几个请求共用了一个R可能存在覆盖数据的情况,如下图
2.实现链式调用
Go
ctx := r.Context()
ctx = context.WithValue(ctx, UserIDKey, claims.UserID)
ctx = context.WithValue(ctx, UsernameKey, claims.Username)
ctx = context.WithValue(ctx, RoleKey, claims.Role)虽然多用了几个context的空间,但是context本身的空间很小。这很像一个层层套娃的模式,每个版本都有记录而不是只有最终的版本,能让链路清晰可追溯,最终传入r中的就是整个context链路
userid于是就在gettodo中获取了