🔒 Как защитить API: 6 ключевых аспектов безопасности

API — главный мост между сервисами, но и уязвимое место в безопасности. Ошибки здесь могут дорого стоить.

Что нужно для безопасного API:

1. Авторизация и аутентификация пользователей

Надежная проверка пользователя и контроль доступа — в основе защиты от несанкционированного использования API.

Современные методы, такие как OAuth 2.0 и JWT, позволяют точно идентифицировать клиентов и разграничивать их права, снижая риск компрометации.

2. Использовать HTTPS

HTTPS шифрует трафик между клиентом и сервером, предотвращая перехват данных и их изменение в процессе передачи.

Это базовые аспекты для минимальной безопасности вашего API. В статье подробно раскрыли остальные пункты, следуя которым разработка не будет убыточной из-за дыр в безопасности.

➡️ Остальные способы ищите в статье

🐸Библиотека Go-разработчика #буст

❓ На чьей стороне вы

🔥 — snake_case
❤️ — CamelCase

🐸Библиотека Go-разработчика #развлекалово

🔒 Обмен данными безопасно

JSON Web Tokens (JWT) — это открытый стандарт (RFC 7519), позволяющий безопасно передавать информацию между сторонами в виде JSON-объекта.

JWT состоит из трёх частей:

1. Заголовок: содержит информацию о типе токена и алгоритме подписи (например, HMAC SHA256).

2. Payload: содержит данные, которые передаются. Это могут быть идентификаторы пользователя, роли, права доступа и т.д

3. Подпись: создаётся путём кодирования header и payload, а затем подписи их с использованием секрета или закрытого ключа.

Как использовать JWT в Go

1️⃣ Установка необходимых библиотек

Для работы с JWT в Go используем библиотеку:

go get github.com/golang-jwt/jwt/v4

2️⃣ Генерация JWT

Пример генерации JWT токена:

package main

import (
    "fmt"
    "time"

    "github.com/golang-jwt/jwt/v4"
)

var mySigningKey = []byte("your-256-bit-secret")

func GenerateJWT(userID string) (string, error) {
    claims := &jwt.RegisteredClaims{
        Issuer:    "your-app",
        Subject:   userID,
        ExpiresAt: jwt.NewNumericDate(time.Now().Add(72 * time.Hour)),
    }

    token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
    return token.SignedString(mySigningKey)
}

func main() {
    token, err := GenerateJWT("12345")
    if err != nil {
        fmt.Println("Error generating token:", err)
        return
    }
    fmt.Println("Generated JWT:", token)
}

3️⃣ Проверка JWT

Ниже готовый код для проверки токена:

func VerifyJWT(tokenString string) (*jwt.RegisteredClaims, error) {
    token, err := jwt.ParseWithClaims(tokenString, &jwt.RegisteredClaims{}, func(token *jwt.Token) (interface{}, error) {
        if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
            return nil, fmt.Errorf("unexpected signing method: %v", token.Header["alg"])
        }
        return mySigningKey, nil
    })

    if err != nil {
        return nil, err
    }

    if claims, ok := token.Claims.(*jwt.RegisteredClaims); ok && token.Valid {
        return claims, nil
    }
    return nil, fmt.Errorf("invalid token")
}

JWT можно использовать для:

• Аутентификации — после успешного входа пользователя сервер генерирует JWT, который клиент использует для доступа к защищённым ресурсам.

• Управления сессиями — хранение информации о состоянии пользователя без необходимости поддерживать серверные сессии.

• SSO — использование единого токена для доступа к нескольким приложениям.

📎 Оригинальная статья

🐸Библиотека Go-разработчика #буст

🔄 Revive v1.10.0: Улучшения и исправления

В новой версии линтера Revive представлено несколько значимых улучшений и исправлений.

🆕 Основные изменения

• Обновлена конфигурация для интеграции с golangci-lint v2.

• Правило var-naming теперь проверяет каждое имя пакета только один раз.

• Внесены изменения, направленные на удаление регулярных выражений из исходного кода.

• Исправлена ошибка, приводившая к ложным срабатываниям правила get-return для HTTP-обработчиков, что повышает точность анализа кода

📎 Полный changelog релиза

🐸Библиотека Go-разработчика #свежак

👔 Роль крупных компаний в развитии IT-индустрии

В мире технологий существует устоявшееся мнение, что крупные корпорации — это непоколебимые лидеры инноваций и драйверы индустрии. Но давайте посмотрим трезво.

• Часто за красивыми презентациями и маркетингом скрывается консерватизм. Новые идеи не всегда приживаются, если они угрожают прибыльности или текущим бизнес-моделям.

• В больших организациях бюрократия и формальные процедуры порой загоняют проекты в рамки, где инновации превращаются в рутину и формальность.

• Монополизация рынков и контроль над ключевыми сегментами IT создают барьеры для молодых стартапов и независимых разработчиков.

В итоге мы получаем стабильность и масштаб, но платим за это снижением гибкости, замедлением темпов внедрения действительно новых технологий и ограничением свободы выбора.

💬 Кто видит в крупных компаниях источник прогресса, а кто — фактор стагнации? Ждём ваши мысли в комментариях 👇

🐸Библиотека Go-разработчика #междусобойчик

⚡️ Быстро узнать тип переменной

Inline Type Info — это встроенная возможность в GoLand (и некоторых JetBrains IDE), которая показывает тип переменной или выражения прямо в коде, над строкой или рядом с ней

Пример:

data := fetchUserData() // 👈 IDE покажет: data → UserData

for _, item := range data.Items {
    fmt.Println(item.Name) // 👈 item → UserItem
}

Рядом с data и item будет ненавязчиво показан их тип, даже если они выведены через «:=»

Как включить Inline Type Info в GoLand

1. Открыть настройки и перейти в раздел

Editor → Inlay Hints → Go → Types

2. Проставить галочки

☑️ Show for local variables

☑️ Show for range variables

☑️ Show for function result types

В VS Code с расширением Go by Google также есть похожая настройка:
"gopls": { "ui.inlayHints": true } в settings.json. Показываются типы, параметры, возвращаемые значения.

🐸Библиотека Go-разработчика #буст

📰 Cup O’ Go эпизод №112

Ведущие снова собрались, чтобы обсудить самые свежие новости и ключевые тренды из мира Go разработки.

В центре внимания:

• Обновлённый дефолт для GOMAXPROCS с учётом лимитов CPU, который улучшит управление ресурсами;

• Свежие подходы к работе с большими языковыми моделями (LLM) на Go, представленные Rory Malcolm;

• Релиз версии 9.0.0 клиента go-elasticsearch от Elastic с новыми возможностями;

• Инновационный Green Tea Garbage Collector, оптимизирующий сборку мусора;

• И другие новости, включая обзор с Google I/O и обновления популярных библиотек.

🎧 Слушать эпизод

🐸Библиотека Go-разработчика #свежак

🐸Библиотека Go-разработчика #развлекалово

📰 Дайджест недели

Что прошло уже не вернуть, но стоит ознакомиться с нашей подборкой прошедшей недели.

— Монолит: хороший, плохой и уродливый

Анализ трёх типов монолитов: модульного (готового к масштабированию), распределённого (маскирующегося под микросервисы) и традиционного (трудного в сопровождении).

Рассматриваются их особенности, преимущества и недостатки, а также влияние на поддержку и развитие систем.

— Нативная поддержка FIPS 140-3 без сторонних библиотек

Go 1.24 представил встроенную поддержку FIPS 140-3, устраняя необходимость в сторонних криптобиблиотеках. Это упрощает соответствие требованиям безопасности для государственных и регулируемых отраслей.

— Как защитить API: 6 ключевых аспектов безопасности

— Revive v1.10.0

— Cup O’ Go эпизод №112

🐸Библиотека Go-разработчика #свежак

🍴 Топ-вакансий для Go-разработчиков за неделю

Senior Developer BE Golang — от 300 000 ₽, Гибрид (Москва)

GoLang-программист — Гибрид/Офис (Волгоград)

Разработчик в S3 — от 300 000, Удаленно (Москва/Санкт-Петербург/Новосибирск)

Software Engineer (Golang) — от 3 650 €, Удаленно (Испания, Сербия, Кипр — помощь с переездом)

Senior Go developer — Удаленно (Москва).

Бустер — Удалёнка по всей планете Земля.

➡️ Еще больше топовых вакансий — в нашем канале Go jobs