Sākums Izpētīt Palīdzība
Pierakstīties
weiym
/
perms-system-server
1
0
Atdalīts 0
Faili Problēmas 0 Izmaiņu pieprasījumi 0 Vikivietne
Koks: 7dbe686aa8
Atzari Tagi
perms-system...
/
internal
/
server
/
grpc_rate_limit_audit_test.go

grpc_rate_limit_audit_test.go 7.2 KB
Vēsture Neapstrādāts

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165 
  1. package server
    2. 

  2. 

  3. import (
    4. 

  4. 	"context"
    5. 

  5. 	"database/sql"
    6. 

  6. 	"net"
    7. 

  7. 	"testing"
    8. 

  8. 	"time"
    9. 

  9. 

  10. 	authHelper "perms-system-server/internal/logic/auth"
    11. 

  11. 	userModel "perms-system-server/internal/model/user"
    12. 

  12. 	"perms-system-server/internal/svc"
    13. 

  13. 	"perms-system-server/internal/testutil"
    14. 

  14. 	"perms-system-server/pb"
    15. 

  15. 

  16. 	"github.com/stretchr/testify/assert"
    17. 

  17. 	"github.com/stretchr/testify/require"
    18. 

  18. 	"github.com/zeromicro/go-zero/core/limit"
    19. 

  19. 	"github.com/zeromicro/go-zero/core/stores/redis"
    20. 

  20. 	"google.golang.org/grpc/codes"
    21. 

  21. 	"google.golang.org/grpc/peer"
    22. 

  22. 	"google.golang.org/grpc/status"
    23. 

  23. )
    24. 

  24. 

  25. // ---------------------------------------------------------------------------
    26. 

  26. // 覆盖目标:
    27. 

  27. //   H-2:gRPC RefreshToken / VerifyToken 必须受 IP 维度限流保护;
    28. 

  28. //   M-7:extractClientIP 必须剥离端口,同一 IP 的不同 TCP 端口共享同一限流桶;
    29. 

  29. //   H-1:gRPC RefreshToken 里走的是 IncrementTokenVersionIfMatch,
    30. 

  30. //        一次成功后旧 refreshToken 立刻失效;重放必须返回 Unauthenticated。
    31. 

  31. // ---------------------------------------------------------------------------
    32. 

  32. 

  33. // withPeerIP 往 ctx 注入指定 "host:port" 的 peer,模拟 gRPC 上游的 PeerAddr。
    34. 

  34. func withPeerIP(ctx context.Context, hostPort string) context.Context {
    35. 

  35. 	addr, err := net.ResolveTCPAddr("tcp", hostPort)
    36. 

  36. 	if err != nil {
    37. 

  37. 		panic(err)
    38. 

  38. 	}
    39. 

  39. 	return peer.NewContext(ctx, &peer.Peer{Addr: addr})
    40. 

  40. }
    41. 

  41. 

  42. // TC-0828: H-2 —— GrpcRefreshLimiter 在配额用尽后对同 IP 新请求返回 ResourceExhausted。
    43. 

  43. func TestGrpcRefreshToken_RateLimit_OverIP(t *testing.T) {
    44. 

  44. 	ctx := context.Background()
    45. 

  45. 	svcCtx := svc.NewServiceContext(testutil.GetTestConfig())
    46. 

  46. 	cfg := testutil.GetTestConfig()
    47. 

  47. 	rds := redis.MustNewRedis(cfg.CacheRedis.Nodes[0].RedisConf)
    48. 

  48. 

  49. 	// quota=1 的定制 limiter,让第 2 次必然 429/ResourceExhausted。
    50. 

  50. 	svcCtx.GrpcRefreshLimiter = limit.NewPeriodLimit(
    51. 

  51. 		60, 1, rds, cfg.CacheRedis.KeyPrefix+":rl:grpc:refresh:ut:"+testutil.UniqueId())
    52. 

  52. 	svcCtx.TokenOpLimiter = nil
    53. 

  53. 

  54. 	srv := NewPermServer(svcCtx)
    55. 

  55. 

  56. 	// 第 1 次:故意用个无效 token,让 limiter 放行、业务层兜底返回 Unauthenticated。
    57. 

  57. 	// 这里只关心 limiter 是否"吃掉 1 个配额"。
    58. 

  58. 	ctx1 := withPeerIP(ctx, "10.1.2.3:11111")
    59. 

  59. 	_, err1 := srv.RefreshToken(ctx1, &pb.RefreshTokenReq{RefreshToken: "invalid"})
    60. 

  60. 	require.Error(t, err1)
    61. 

  61. 	st1, _ := status.FromError(err1)
    62. 

  62. 	assert.Equal(t, codes.Unauthenticated, st1.Code(),
    63. 

  63. 		"首次放行,业务层应返回 Unauthenticated(token 无效),不应是 ResourceExhausted")
    64. 

  64. 

  65. 	// 第 2 次:同 IP 但端口不同(模拟新 TCP 连接),必须被同一限流桶拦住。
    66. 

  66. 	ctx2 := withPeerIP(ctx, "10.1.2.3:22222")
    67. 

  67. 	_, err2 := srv.RefreshToken(ctx2, &pb.RefreshTokenReq{RefreshToken: "anything"})
    68. 

  68. 	require.Error(t, err2)
    69. 

  69. 	st2, _ := status.FromError(err2)
    70. 

  70. 	assert.Equal(t, codes.ResourceExhausted, st2.Code(),
    71. 

  71. 		"H-2 + M-7:同 IP 第 2 次刷新必须 429;端口变化不得绕过限流(extractClientIP 剥端口)")
    72. 

  72. 	assert.Contains(t, st2.Message(), "过于频繁")
    73. 

  73. }
    74. 

  74. 

  75. // TC-0829: H-2 —— GrpcVerifyLimiter 在配额用尽后对同 IP 新请求返回 ResourceExhausted。
    76. 

  76. // VerifyToken 契约是"非法 token 返回 Valid=false 而不是 error",因此限流是唯一能让接口返回 gRPC error 的路径。
    77. 

  77. func TestGrpcVerifyToken_RateLimit_OverIP(t *testing.T) {
    78. 

  78. 	ctx := context.Background()
    79. 

  79. 	svcCtx := svc.NewServiceContext(testutil.GetTestConfig())
    80. 

  80. 	cfg := testutil.GetTestConfig()
    81. 

  81. 	rds := redis.MustNewRedis(cfg.CacheRedis.Nodes[0].RedisConf)
    82. 

  82. 	svcCtx.GrpcVerifyLimiter = limit.NewPeriodLimit(
    83. 

  83. 		60, 1, rds, cfg.CacheRedis.KeyPrefix+":rl:grpc:verify:ut:"+testutil.UniqueId())
    84. 

  84. 	srv := NewPermServer(svcCtx)
    85. 

  85. 

  86. 	ctx1 := withPeerIP(ctx, "10.9.8.7:30001")
    87. 

  87. 	resp1, err1 := srv.VerifyToken(ctx1, &pb.VerifyTokenReq{AccessToken: "invalid"})
    88. 

  88. 	require.NoError(t, err1, "首次放行:VerifyToken 对非法 token 只返回 Valid=false,不 error")
    89. 

  89. 	require.NotNil(t, resp1)
    90. 

  90. 	assert.False(t, resp1.Valid)
    91. 

  91. 

  92. 	// 同 IP 不同端口 → 必须被限流拦住。
    93. 

  93. 	ctx2 := withPeerIP(ctx, "10.9.8.7:30002")
    94. 

  94. 	_, err2 := srv.VerifyToken(ctx2, &pb.VerifyTokenReq{AccessToken: "whatever"})
    95. 

  95. 	require.Error(t, err2)
    96. 

  96. 	st2, _ := status.FromError(err2)
    97. 

  97. 	assert.Equal(t, codes.ResourceExhausted, st2.Code(),
    98. 

  98. 		"H-2:gRPC VerifyToken 必须受 IP 级限流保护,防止下游被当 token oracle 爆破")
    99. 

  99. }
    100. 

  100. 

  101. // TC-0830: M-7 —— extractClientIP 对 "host:port" 必须剥成 host;
    102. 

  102. // 缺失 peer 时返回 error,由上层决定降级到 unknown 桶。
    103. 

  103. func TestExtractClientIP_StripsPort(t *testing.T) {
    104. 

  104. 	addr, err := net.ResolveTCPAddr("tcp", "192.168.0.1:54321")
    105. 

  105. 	require.NoError(t, err)
    106. 

  106. 	ctx := peer.NewContext(context.Background(), &peer.Peer{Addr: addr})
    107. 

  107. 

  108. 	ip, err := extractClientIP(ctx)
    109. 

  109. 	require.NoError(t, err)
    110. 

  110. 	assert.Equal(t, "192.168.0.1", ip,
    111. 

  111. 		"M-7:gRPC peer.Addr 必须剥成纯 host;保留端口会导致限流形同虚设")
    112. 

  112. 

  113. 	// 无 peer 的 context
    114. 

  114. 	_, err2 := extractClientIP(context.Background())
    115. 

  115. 	assert.Error(t, err2, "无 peer 时必须返回 error,让上层选择 fail-close 或降级到 unknown 桶")
    116. 

  116. }
    117. 

  117. 

  118. // TC-0831: H-1 + M-7 —— gRPC RefreshToken 成功一次后,旧 refreshToken 立刻失效;
    119. 

  119. // 换用同 IP 重放旧 token 必须返回 Unauthenticated("登录状态已失效"),
    120. 

  120. // 而不是因端口变化绕过限流或因 CAS 失败被伪装成 500。
    121. 

  121. func TestGrpcRefreshToken_CASInvalidatesOldToken(t *testing.T) {
    122. 

  122. 	ctx := context.Background()
    123. 

  123. 	svcCtx := svc.NewServiceContext(testutil.GetTestConfig())
    124. 

  124. 	conn := testutil.GetTestSqlConn()
    125. 

  125. 	cfg := testutil.GetTestConfig()
    126. 

  126. 	rds := redis.MustNewRedis(cfg.CacheRedis.Nodes[0].RedisConf)
    127. 

  127. 

  128. 	// 放开限流以聚焦 CAS 正确性(quota 大)。
    129. 

  129. 	svcCtx.GrpcRefreshLimiter = limit.NewPeriodLimit(
    130. 

  130. 		60, 100, rds, cfg.CacheRedis.KeyPrefix+":rl:grpc:refresh:cas:"+testutil.UniqueId())
    131. 

  131. 	svcCtx.TokenOpLimiter = nil
    132. 

  132. 

  133. 	now := time.Now().Unix()
    134. 

  134. 	uid := testutil.UniqueId()
    135. 

  135. 	uRes, err := svcCtx.SysUserModel.Insert(ctx, &userModel.SysUser{
    136. 

  136. 		Username: uid, Password: testutil.HashPassword("pass123"), Nickname: "n",
    137. 

  137. 		Avatar: sql.NullString{}, IsSuperAdmin: 2, MustChangePassword: 2,
    138. 

  138. 		Status: 1, CreateTime: now, UpdateTime: now,
    139. 

  139. 	})
    140. 

  140. 	require.NoError(t, err)
    141. 

  141. 	userId, _ := uRes.LastInsertId()
    142. 

  142. 	t.Cleanup(func() { testutil.CleanTable(ctx, conn, "`sys_user`", userId) })
    143. 

  143. 

  144. 	rt, err := authHelper.GenerateRefreshToken(cfg.Auth.RefreshSecret, cfg.Auth.RefreshExpire, userId, "", 0)
    145. 

  145. 	require.NoError(t, err)
    146. 

  146. 

  147. 	srv := NewPermServer(svcCtx)
    148. 

  148. 

  149. 	// 第一次成功刷新。
    150. 

  150. 	ctx1 := withPeerIP(ctx, "172.16.0.1:11001")
    151. 

  151. 	resp, err := srv.RefreshToken(ctx1, &pb.RefreshTokenReq{RefreshToken: rt})
    152. 

  152. 	require.NoError(t, err)
    153. 

  153. 	require.NotEmpty(t, resp.RefreshToken)
    154. 

  154. 

  155. 	// 用同一个旧 rt 重放,应当 Unauthenticated;
    156. 

  156. 	// 注意:旧 token 里 tokenVersion=0,DB 已被 CAS 推到 1,所以 "claims.TokenVersion != ud.TokenVersion" 这一步就会拦住。
    157. 

  157. 	// 端口换掉以确保不是限流在帮我们挡。
    158. 

  158. 	ctx2 := withPeerIP(ctx, "172.16.0.1:11002")
    159. 

  159. 	_, err = srv.RefreshToken(ctx2, &pb.RefreshTokenReq{RefreshToken: rt})
    160. 

  160. 	require.Error(t, err, "H-1:旧 refreshToken 成功刷新一次后必须失效")
    161. 

  161. 	st, _ := status.FromError(err)
    162. 

  162. 	assert.Equal(t, codes.Unauthenticated, st.Code(),
    163. 

  163. 		"旧 token 重放必须返回 Unauthenticated,不能是 Internal/ResourceExhausted")
    164. 

  164. 	assert.Contains(t, st.Message(), "登录状态已失效")
    165. 

  165. }
    166.