输入验证

在选择您希望如何公开您的 Go 服务时，在 gRPC 和 HTTP 之间进行选择可能是一个相当困难的选择。 gRPC 为您提供了更高性能的网络传输，而围绕它的工具仍然落后于您更标准的基于 HTTP 的 API。

在本教程中，我们将研究如何利用 go-playground/validator 包来提高 API 和 UX 组件的安全性。

gRPC 服务中的验证

我喜欢 gRPC 服务开发的关键之一是通过 protobuf 定义对服务消费者施加的严格性。获得此设置的工具可以说更复杂一些，并且需要更长的时间，但一旦到位，它有助于确保消费者向您发送您期望的有效负载。

HTTP 替代方案

不过值得庆幸的是，有一种方法可以对传入 Go 服务的 HTTP JSON 请求实施某种程度的严格性。我们可以在我们的 HTTP 服务中使用一种称为 JSON 请求验证的技术，它可以有效地确保传入的请求在我们的服务处理之前通过一系列检查。

一个简单的例子

例如，让我们看一下处理诸如配置新用户帐户之类的任务的用户管理系统。我们通常会有一个看起来有点像这样的端点来创建新用户：

介绍

首先，我要感谢 Elliot Forbes 有机会在这个领域进行合作。我的名字是阿卜杜拉·加西亚。我是一位经验丰富的安全工程师，在广泛的行业领域拥有十多年的成功设计和交付高质量解决方案的经验；对于好奇的人，您可以在 LinkedIn 中找到更多详细信息。我也是一名神经科学家，专注于结合虚拟现实、ML 和假肢的运动神经康复的脑机接口 (BCI)。最后，在业余时间，我喜欢风景/城市/街头摄影（https://abdullahgarcia.myportfolio.com）、旅行、烹饪/烘焙以及各种运动……等等。

本文是几篇文章中的第一篇，其目标是：

• 了解无论您使用哪种编码语言都适用的通用安全编码最佳实践。
• 了解使用 Go 编码时如何应对 OWASP 十大（2017）安全风险。

特别是这个：