本文基于搭建好etcd集群，若为搭建请移步：https://www.jianshu.com/p/ec0e4911236d
etcd我们使用其存储key/value的功能，存储jwt的私有key，也可以通过etcd来更新key。

设计思路：

内部服务通过go-micro api相互访问时，为了保证访问的安全，防止来自外部的攻击，我们在服务间通过token来识别。
各服务在请求对方是在header中加入token，token使用jwt生成，jwt 的私有key来自etcd。

为什么这么做

我们使用go-micro api 作为网关 ，使用etcd作为服务发现，此时访问各服务的出入口在go-micro api，其对外的地址和端口是固定的，若我们不做防护，来自外部的访问，就可以直接访问到我们内部的服务，很不安全。

为什么使用etcd来存储私有key

这样做是为了，使用相同的私有key，不用每个服务都设置一遍，而且可以实现热更新key，当私有key存在泄漏风险时，通过etcdctl指令更新key即可，无需部署发布。

ok，下面我们说如何在etcd中存储数据，以及如何使用golang代码访问etcd获取数据
当搭建完etcd后，使用一下指令进入其中一个etcd，因为我们搭建的etcd是集群，所以任意一个修改，都是生效的。
使用如下指令进入etcd

docker exec -it 7ffad5617908 /bin/bash
如果不可用改为：
docker exec -it 7ffad5617908 /bin/sh

指定 Etcd API 的版本，默认是 2。指定版本是为了想要在任意位置访问到 etcd 和 etcdctl，如果不设置，代码是无法获取到值的。

执行指令：
export ETCDCTL_API=3

查看版本

etcdctl version

可看到如下输出

图片.png

然后，设置jwt的key

etcdctl put jwtkey 123456

说明：

etcdctl ：是etcd指令标识
put：标识新增或更新值
jwtkey：是值名称
123456：是值

至此，etcd就设置好了，开始写golang代码获取etcd中jwtkey的值

package myetcd

import (
    "context"
        "fmt"
    "github.com/coreos/etcd/clientv3"
)
//etcdAddr 是etcd地址（如：192.168.109.131:12379，12379是etcd容器开放对外的端口）
//key ，传jwtkey即可
func GetKey(etcdAddr string,key string)(value string){
    cli, err := clientv3.New(clientv3.Config{
        Endpoints:   []string{etcdAddr},
    })
    if err != nil {
        fmt.Println("connect etcd failed, err:%s", err.Error())
        return
    }

    mylog.Info("connect etcd success")
    defer cli.Close()
    kv := clientv3.NewKV(cli)

    resp, err := kv.Get(context.TODO(), key)
    if err != nil {
        fmt.Println("get etcd key failed, key:%s, err:%s", key, err.Error())
        return
    }
    for _, ev := range resp.Kvs {
        value = string(ev.Value)
    }
    return
}

至此就可以获取到jwtkey了，
下面使用jwt生成token

package token

import (
    jwt "github.com/dgrijalva/jwt-go"
    "github.com/kukayyou/commonlib/myetcd"
    "sync"
    "time"
)

// CustomClaims 自定义的 metadata在加密后作为 JWT 的第二部分返回给客户端
type ServerClaims struct {
    Server string `json:"server"`
    jwt.StandardClaims
}

// Token jwt服务
var (
    rwlock     sync.RWMutex
    PrivateKey string = "orangetutor"
)

//获取私钥
func get() []byte {
    rwlock.RLock()
    defer rwlock.RUnlock()

    return []byte(PrivateKey)
}

//设置私钥
func put(newKey string) {
    rwlock.Lock()
    defer rwlock.Unlock()

    PrivateKey = newKey
}

//检测jwt私钥是否改变
func Init(opt string) {
    go func() {
        for {
            key := myetcd.GetKey(opt, "jwtkey")//获取etcd中的jwtkey
            put(key)
            time.Sleep(time.Second * 10)
        }
    }()
}

//创建token,server是服务名，这里也可以不使用这个字段
//expireTime 是token过期时间
func CreateServerToken(server string, expireTime int64) (string, error) {
    claims := ServerClaims{
        server,
        jwt.StandardClaims{
            Issuer:    ISSUSER,
            IssuedAt:  time.Now().Unix(),
            ExpiresAt: expireTime,
        },
    }

    jwtToken := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
    return jwtToken.SignedString(get())
}

//检验token
func CheckServerToken(tokenStr string) (*ServerClaims, error) {
    t, err := jwt.ParseWithClaims(tokenStr, &ServerClaims{}, func(token *jwt.Token) (interface{}, error) {
        return get(), nil
    })

    if err != nil {
        return nil, err
    }
    // 解密转换类型并返回
    if claims, ok := t.Claims.(*ServerClaims); ok && t.Valid {
        return claims, nil
    }

    return nil, err
}

ok，全部搞定