Home  >  Golang

Mengelola Role dan Izin Akses dalam API Echo di Go

Setelah mempelajari cara mengimplementasikan autentikasi pada API menggunakan middleware di Echo dalam artikel sebelumnya, kini kita akan beralih ke pengelolaan role dan izin akses. Pengelolaan ini sangat penting untuk memastikan bahwa pengguna hanya dapat mengakses resource yang sesuai dengan hak akses yang diberikan. Dalam artikel ini, kita akan melanjutkan pembahasan dengan menjelajahi cara menerapkan manajemen role dan izin akses menggunakan Echo di Go. Dengan memahami konsep ini, Anda dapat meningkatkan keamanan dan kontrol akses dalam aplikasi yang Anda kembangkan.

Apa Itu Role dan Izin Akses?

Role adalah kumpulan hak akses yang diberikan kepada pengguna. Misalnya, dalam sebuah aplikasi, Anda mungkin memiliki role seperti admin, user, dan guest. Setiap role memiliki izin akses yang berbeda untuk berbagai endpoint di API. Dengan mengelola role dan izin, Anda dapat memastikan bahwa pengguna tidak mengakses data yang tidak seharusnya mereka akses.

Menambahkan Role dan Izin Akses dalam Proyek Kita

Mari kita lanjutkan dari proyek yang telah kita buat sebelumnya. Kita akan menambahkan logika untuk mengelola role dan izin akses. Berikut adalah langkah-langkahnya:

Langkah 1: Menambahkan Role dan Izin dalam JWT

Saat kita menghasilkan token JWT, kita perlu menambahkan informasi role ke dalam klaim token. Mari kita ubah fungsi GenerateToken untuk memasukkan role:

// Menambahkan role ke dalam klaim
func GenerateToken(c echo.Context) error {
	claims := jwt.MapClaims{
		"username": "user123",
		"role":     "admin", // Tambahkan role di sini
		"exp":      time.Now().Add(time.Hour * 1).Unix(),
	}

	token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	tokenString, err := token.SignedString(secretKey)
	if err != nil {
		return c.JSON(http.StatusInternalServerError, map[string]string{"message": "Internal Server Error"})
	}

	return c.JSON(http.StatusOK, map[string]string{"token": tokenString})
}

Langkah 2: Membuat Middleware untuk Memeriksa Role

Selanjutnya, kita perlu membuat middleware yang memeriksa role pengguna sebelum mengizinkan akses ke route tertentu. Berikut adalah contoh middleware yang melakukan hal ini:

// Middleware untuk memeriksa role
func HasRole(role string) echo.MiddlewareFunc {
	return func(next echo.HandlerFunc) echo.HandlerFunc {
		return func(c echo.Context) error {
			// Mendapatkan token dari header
			tokenString := c.Request().Header.Get("Authorization")
			token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
				if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
					return nil, echo.ErrUnauthorized
				}
				return secretKey, nil
			})

			if err != nil || !token.Valid {
				return c.JSON(http.StatusUnauthorized, map[string]string{"message": "Unauthorized"})
			}

			claims := token.Claims.(jwt.MapClaims)
			userRole := claims["role"].(string)

			// Memeriksa apakah pengguna memiliki role yang sesuai
			if userRole != role {
				return c.JSON(http.StatusForbidden, map[string]string{"message": "Forbidden"})
			}

			return next(c)
		}
	}
}

Langkah 3: Menggunakan Middleware di Route

Sekarang kita dapat menggunakan middleware ini pada route yang ingin kita lindungi. Mari kita buat route baru yang hanya dapat diakses oleh pengguna dengan role admin:

// Route yang hanya dapat diakses oleh admin
func AdminRoute(c echo.Context) error {
	return c.JSON(http.StatusOK, map[string]string{"message": "Welcome, admin!"})
}

func main() {
	e := echo.New()

	// Route untuk menghasilkan token
	e.POST("/token", GenerateToken)

	// Route untuk admin
	e.GET("/admin", AdminRoute, HasRole("admin")) // Hanya admin yang bisa mengakses route ini

	e.Logger.Fatal(e.Start(":8080"))
}

Menguji Role dan Izin Akses

Setelah melakukan perubahan di atas, kita dapat menguji role dan izin akses.

  1. Mendapatkan Token:
    • Lakukan request POST ke http://localhost:8080/token untuk mendapatkan token.
  2. Mengakses Route Admin:
    • Gunakan token yang diperoleh untuk melakukan request GET ke http://localhost:8080/admin dengan menambahkan header Authorization: Authorization: <token>
    • Jika role pengguna adalah admin, Anda akan mendapatkan respons yang menyatakan bahwa Anda adalah admin. Jika tidak, Anda akan menerima respons 403 Forbidden.

Kesimpulan

Dalam artikel ini, kita telah membahas cara mengelola role dan izin akses dalam API menggunakan Echo di Go. Dengan menambahkan informasi role ke dalam token JWT dan membuat middleware untuk memeriksa role, kita dapat meningkatkan keamanan aplikasi dan memastikan bahwa hanya pengguna yang berhak yang dapat mengakses resource tertentu.

Pengelolaan role dan izin akses adalah langkah penting dalam membangun API yang aman dan dapat diandalkan. Selanjutnya, Anda dapat mempertimbangkan untuk menambahkan fitur seperti manajemen pengguna dan pengaturan izin yang lebih kompleks sesuai kebutuhan aplikasi Anda.

Categories:Golang

Tags:

Related Posts