go-zero网关跨域(CORS)配置的解决方案与实践

2025-05-05 06:33:40作者：薛曦旖Francesca

背景介绍

在微服务架构中，API网关作为系统的统一入口，经常需要处理跨域资源共享(CORS)问题。go-zero作为一款高效的微服务框架，其网关组件在早期版本中并未内置CORS支持，这给开发者带来了一定挑战。本文将深入探讨如何在go-zero网关中实现完善的CORS支持。

问题分析

跨域请求是Web开发中的常见需求，当前端应用与API服务部署在不同域名下时，浏览器出于安全考虑会实施同源策略限制。CORS机制允许服务器声明哪些外部域有权访问资源。在go-zero网关场景下，需要处理以下核心问题：

预检请求(OPTIONS)的响应处理
必要响应头的设置
多种HTTP方法的支持
凭证控制

解决方案

中间件实现方案

通过自定义中间件可以优雅地解决CORS问题。以下是完整的实现方案：

package middleware

import "net/http"

type CorsMiddleware struct{}

func NewCorsMiddleware() *CorsMiddleware {
    return &CorsMiddleware{}
}

func (m *CorsMiddleware) Handle(next http.HandlerFunc) http.HandlerFunc {
    return func(w http.ResponseWriter, r *http.Request) {
        setCorsHeaders(w)
        
        if r.Method == "OPTIONS" {
            w.WriteHeader(http.StatusNoContent)
            return
        }
        
        next(w, r)
    }
}

func (m *CorsMiddleware) Handler() http.Handler {
    return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
        setCorsHeaders(w)
        
        if r.Method == "OPTIONS" {
            w.WriteHeader(http.StatusNoContent)
        } else {
            w.WriteHeader(http.StatusNotFound)
        }
    })
}

func setCorsHeaders(w http.ResponseWriter) {
    w.Header().Set("Access-Control-Allow-Origin", "*")
    w.Header().Set("Access-Control-Allow-Headers", 
        "Content-Type, X-CSRF-Token, Authorization, AccessToken, Token")
    w.Header().Set("Access-Control-Allow-Methods", 
        "GET, POST, PUT, DELETE, OPTIONS, PATCH")
    w.Header().Set("Access-Control-Expose-Headers", 
        "Content-Length, Content-Type, Access-Control-Allow-Origin, Access-Control-Allow-Headers")
    w.Header().Set("Access-Control-Allow-Credentials", "true")
}