从JWT到hertzJWT实战

最新推荐文章于 2025-11-14 21:24:33 发布
原创 最新推荐文章于 2025-11-14 21:24:33 发布 · 819 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #golang #JWT

【投稿赢 iPhone 17】「我的第一个开源项目」故事征集:用代码换C位出道! 10w+人浏览 1.5k人参与

导言

本人最近在写一个聊天室项目练手,最开始是一个极简陋的基于websocket的聊天室框架这里,于是想把它展开,做一个较为规范化的项目,在分包后将框架升级为了hertz并添加了用户的注册与登录模块,其中用到了JWT。于是我从0学习JWT并将其运用于实战,本文用于记录这段经历,并欢迎相互交流

1.JWT(Json Web Token)

JWT (JSON Web Token) 是一种开放标准 (RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。这种信息可以被验证和信任,因为它是经过数字签名的。

JWT由三部分构成,分别是:

Header(头部):

头部主要包含了签名算法和令牌类型

{
  "alg": "HS256",  // 签名算法(HS256表示HMAC SHA-256)
  "typ": "JWT"     // 令牌类型
}
Payload(负载):

包含声明(claims),也是一个JSON对象,储存了在请求中需要用到的数据,例如

{
  "sub": "0721",  //主题
  "name": "mao",  //名称
  "admin": true   //是否管理员
}
3. Signature(签名

签名有header,payload和一个密钥通过头部的算法编码而成

jwt流程

2.Hertz框架下的JWT实战

官方文档

重点是用JWT的是用户的登陆部分以及之后受到保护的路由,在实践中我建立了一个浅显的认知,用户通过登录获得了一张具有信息(比如过期时间等)的游乐园门票(保存在本地),每次游玩游乐园的时候必须出示门票才能游玩,一旦过期等就不能使用

核心代码:

因为仅用作个人学习使用,以及经验浅薄,错误处理写的方便个人查找,可能具有安全漏洞,等等不足之处,欢迎指出

package middleware
​
import (
    "context"
    "fmt"
    "log"
    "talkSpace/dao"
    "talkSpace/model"
    "time"
​
    "github.com/cloudwego/hertz/pkg/app"
    "github.com/hertz-contrib/jwt"
)
​
type LoginUser struct{
    UserName string
    ID int
}
​
​
​
func InitJwtMiddleware() *jwt.HertzJWTMiddleware{
    authMiddle,err := jwt.New(&jwt.HertzJWTMiddleware{
        Realm: "protect",
        Key: []byte(model.GlobalConfig.JwtConfig.Jwt.Secret),//此处为安全密钥
        Timeout: time.Hour * 24,
        MaxRefresh: time.Hour * 24 * 30,
        IdentityKey: "id",//登录成功时: 库会从你的用户数据中读取用户的唯一标识符(例如,数据库中的 ID),并将它存储到 JWT 载荷中,使用的键名就是 "id"
​
        //核心:处理登陆请求,验证数据库凭证
        Authenticator: func(c context.Context, ctx *app.RequestContext) (interface{}, error) {
            var user model.User
            if err := ctx.BindAndValidate(&user);err != nil{
                return nil,jwt.ErrMissingLoginValues
            }
            if user.Username =="" || user.Password ==""{
                return nil,fmt.Errorf("不允许出现空用户名或密码")
            }
            user1,err := dao.JudgeUsername(user.Username,user.Password)
            if err != nil{
                return nil,err
            }
            //使用一个新结构体来确保不会将密码等敏感内容放入负荷
            return &LoginUser {
                UserName: user1.Username,
                ID: user.ID,
            },nil
​
        },
​
        //认证成功后将用户数据转换为payload
        PayloadFunc: func(data interface{}) jwt.MapClaims {
            if v, ok := data.(*LoginUser);ok{
                //存入负荷
                return jwt.MapClaims{
                    "id": v.ID,
                    "username": v.UserName,
                }
            }
            
        return jwt.MapClaims{}
        },
​
        //登陆成功后每次请求从token中提取用户信息
        IdentityHandler: func(ctx context.Context, c *app.RequestContext) interface{} {
            claims := jwt.ExtractClaims(ctx, c)
            userID := int(claims["id"].(float64))
            userName := claims["username"].(string)
            return &LoginUser{
                UserName: userName,
                ID: userID,
            }
        },
​
        TokenLookup: "header:Authorization,query:token",
​
    })
    if err != nil{
        log.Fatalf("jwt初始化失败")
    }
    return authMiddle
}
配置
Realm: "protect",     //作用域
Key: []byte(model.GlobalConfig.JwtConfig.Jwt.Secret),//此处为安全密钥
Timeout: time.Hour * 24,            //token过期时间
MaxRefresh: time.Hour * 24 * 30,    //用于设置最大 token 刷新时间,即通过刷新token过期时间以达到的最长token持有时间
IdentityKey: "id",                  ////登录成功时: 库会从你的用户数据中读取用户的唯一标识符(例如,数据库中的 ID),并将它存储到 JWT 载荷中,使用的键名就是 "id"

更多配置详见官方文档

处理登录

首先我们需要处理用户的登录请求并向PayloadFun发送数据来写入负载

 //核心:处理登陆请求,验证数据库凭证
Authenticator: func(c context.Context, ctx *app.RequestContext) (interface{}, error) {
    var user model.User    //创建一个实例来接受用户传入的信息,比如用户名,密码 
    if err := ctx.BindAndValidate(&user);err != nil{  //绑定并验证
        return nil,jwt.ErrMissingLoginValues
    }
    if user.Username =="" || user.Password ==""{       //防止输入空值
                return nil,fmt.Errorf("不允许出现空用户名或密码")
    }
    user1,err := dao.JudgeUsername(user.Username,user.Password)   //此处为自己封装的一个与mysql的用户数据比较,返回用户不存在或者密码错误的error和model.User
    if err != nil{
        return nil,err
    }
    //使用一个新结构体来确保不会将密码等敏感内容放入负荷
    return &LoginUser {
        UserName: user1.Username,
        ID: user.ID,
    },nil
​
},
认证成功后将用户数据转换为payload
PayloadFunc: func(data interface{}) jwt.MapClaims {
            if v, ok := data.(*LoginUser);ok{  //因为data是interface{},编译器无法确认类型,因此需要类型断言
                //存入负载
                return jwt.MapClaims{
                    "id": v.ID,
                    "username": v.UserName,
                }
            }
            
        return jwt.MapClaims{}
        },

Authenticator 函数负责验证用户(检查用户名和密码是否正确)。

一旦验证成功,它返回一个包含用户信息的 Go 结构体 (&LoginUser)。

PayloadFunc 函数接收这个用户信息 (*LoginUser),并将其转换为 JWT 的负载(Claims),也就是要存入 Token 中的数据(如 idusername)。

完成这些后客户端就会获得一个 JWT,此后客户端在后续的每次请求中都需要携带这个 Token,作为身份认证的凭证

用户请求
//登陆成功后每次请求从token中提取用户信息
IdentityHandler: func(ctx context.Context, c *app.RequestContext) interface{} { //c是客户端请求的上下文,携带数据
    claims := jwt.ExtractClaims(ctx, c)         //读取负载,函数返回的值底层还是一个空接口,因此仍然需要类型断言
    
    //userID := claims["id"].(int),出现问题的原因当你使用 github.com/hertz-contrib/jwt 或大多数标准 JWT 库时,JWT Claims(Payload)在解析时通常遵循 JSON 规范。在 Go 语言中,标准库的 JSON 解码器在解析 不带小数点的数字 时,默认会将其解析为 float64 类型,而不是 int。
    
    userID := int(claims["id"].(float64))       
    userName := claims["username"].(string)
    return &LoginUser{
        UserName: userName,
        ID: userID,
    }
},

路由
package router
​
import (
    "talkSpace/service"
    "talkSpace/utils/middleware"
​
    "github.com/cloudwego/hertz/pkg/app/server"
)
​
func InitRouter(h *server.Hertz){
    authMiddle := middleware.InitJwtMiddleware()
    h.Static("/","./static/index.html")
    h.POST("/register",service.UserRegister)
    h.POST("/login",authMiddle.LoginHandler) //Authenticator与HertzJWTMiddleware.LoginHandler配合,登录时触发,用于认证用户的登录信息。
    h.GET("/refresh_token", authMiddle.RefreshHandler)
    apiGroup := h.Group("/api/v1",authMiddle.MiddlewareFunc()) //注意下文提示
    {
        apiGroup.GET("/talkSpace",service.HandleConnection)
    }
    go service.HandleMessages()
}
提示

因为 JWT 的核心是认证授权,所以在使用 Hertz 的 jwt 扩展时,不仅需要为 /login 接口绑定认证逻辑 authMiddleware.LoginHandler

还要以中间件的方式,为需要授权访问的路由组注入授权逻辑 authMiddleware.MiddlewareFunc()

结语

本文是golang小白第一次写项目,边写边学了很多东西,写了很久。中间的过程很苦,但是每个模块run成功的时候确实很开心。

最近时间学长的学习过程,说实话很震惊,一年时间学的又多又深。感觉前方的路途很遥远,不过才刚刚开始,希望我也能成为一名编程糕手

絮絮叨:好累啊,一写就没停下来,国庆还是得好好玩一下

猫梦www
关注
JWT详解
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
JWT原理和实战应用
超级丹的专栏
12-14 2427
1、jwt jsonweb token,一般用于用户认证(前后端分离/微信小程序/app开发)。 基于传统的token认证 用户登录,服务端返回token,并将token保存在服务端 以后用户再来访问时,需要携带token,服务端获取token后,再去数据库中获取token进行校验. jwt 用户登录,服务端返回token,(服务端不保存) 以后用户再来访问时,需要携带token,服务端获取token后,再做token校验. 优势:相较于传统的token相比,它无需在服务端保存token..
JWT鉴权实战
前者已逝,后者未至。
11-04 1505
目标 熟悉JWT鉴权流程,能通过代码实现项目上的鉴权。 JWT(Json Web Token)鉴权
JWT 实战教程】
学习的流浪者
01-28 3696
编程不良人-JWT实战教程
JWT安全及案例实战
来日可期的博客
09-14 2688
JWT(JSON Web Token)是一种用于在网络环境中进行身份验证和授权的开放标准。它使用 JSON 格式定义了一种安全的令牌传输格式。
Spring Security + JWT 入门实战
weixin_45452416的博客
11-06 4967
Spring Security + JWT 入门实战 ##主要步骤 搭建基础的springboot工程,导入相关依赖 配置mysql,引用jpa 开启JPA支持 创建User实体,及controller,service,repository相关类 创建Jwt工具类,用于管理token相关的操作 创建JwtUser类,主要用于封装登录用户相关信息,例如用户名,密码,权限集合等,必须实现UserDetails 接口 创建JwtUserService 必须实现UserDetailsService,重写loadU
JWT认证实战
网络风云的博客
01-06 6656
JWT(JSON Web Token)是一种轻量级的、基于 JSON 的开放标准(RFC 7519),用于在各方之间安全地传递信息。JWT 的特点是结构简单、轻量化和跨平台支持,适用于用户身份验证、信息加密以及无状态的 API 访问控制。使用 JWT,可以有效实现无状态的用户认证和授权,简化 Web 和 API 的身份管理流程。为了增强安全性,通常使用 Access Token 和 Refresh Token 的双令牌机制。使用 JWT 时需要处理多种可能的异常。
JWT原理解析与实战通杀(附带POC)
LCW991207的博客
07-09 1460
JWT原理解析与实战通杀(附带POC) 奉天安全团队(www.ftsec.cn)-Liku 奉天出品,必属精品。
JWT 安全及案例实战
weixin_58954236的博客
09-14 1719
为了做这种区分,服务器就要给每个客户端分配不同的身份标识”,然后客户端每次向服务器发请求的时候,都带上这个“身份标识”,服务器就知道这个请求来自于谁了。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。服务器有一个不会发送给客户端的密码(secret),用头部中指定的算法对头部和声明的内容用此密码进行加密,生成的字符串就是 JWT 的签名。舍弃签名将修改过的JWT复制到bp的数据包中。
JWT 生成Token实战验证.pdf
10-22
简洁( compact):可以通过URL,POST参数或者在 Http header发送,因为数据量小,传输速度也很快自包含(Sel|f- contained)负载中包含了所有用户所需要的信息,避免了多次查询数据库,此文档为实战
JWT 生成Token实战验证
10-23
**JWT (JSON Web Tokens) 生成Token实战验证** 在现代Web应用中,安全认证和授权是至关重要的。JWT(JSON Web Token)作为一种轻量级的身份验证机制,被广泛应用于API和单页应用(SPA)。JWT允许用户在客户端存储...
jwt的实现 ,实战项目可直接使用
07-13
同时,JWT 还可用于实现权限控制,将用户的权限信息编码在载荷中,服务器在接收到请求时解析 JWT 并检查用户是否有执行操作的权限。 总结,JWT 提供了一种安全、高效的方式来进行身份验证和授权,Java-jwt 库则为 ...
JWT生成Token实战验证详解
它系统阐述了 JWT 的原理、Java 实现方式、安全性考量及典型应用场景,覆盖了从理论到编码再到部署的全流程知识体系,对于希望提升 Web 安全能力和构建现代认证体系的开发者而言,具有极高的学习价值和实践指导意义...
构建AI智能体:九十一、大模型三大适应技术详解:有监督微调、提示学习与语境学习
minhuan的专栏
11-11 854
本文探讨了三种低门槛应用大模型的技术路径:有监督微调、提示学习和语境学习。有监督微调通过标注数据对预训练模型进行二次训练,实现垂直领域适配;提示学习通过精心设计指令模板引导模型输出;语境学习则通过提供任务示例让模型自行推断模式。三者构成从轻量级到深度定制的技术阶梯:提示学习和语境学习适合快速验证和低资源场景,有监督微调则用于高性能需求的核心模块。实际应用中建议优先尝试轻量级方法,必要时再进行微调,以最优成本效益发挥大模型能力。这三种方法共同降低了使用大模型的技术和资源门槛,使中小企业也能高效应用AI技术。
C语言编译器哪个好学 | 学习C语言编译器的入门指南与推荐
sucirf_868的博客
11-13 274
在信息技术飞速发展的今天,编程语言的使用越来越广泛,成千上万的开发者和技术人员正在使用各种编程语言来实现自己的创意和项目。对于开发者来说,选择合适的编程语言至关重要,它不仅会影响到项目的效率,还会决定一个开发者未来的职业路径。另一个不可忽视的编程语言是Java,尽管它的语法较为复杂,但由于其稳定性和跨平台能力,Java在企业级应用开发中仍占有一席之地。C和C++虽然已经有较长的历史,但由于它们的高效性和对硬件的良好支持,仍然是系统级开发、游戏开发和高性能应用的首选。,这也是许多编程初学者的首选工具。
【NGINX的学习
Immortal__y的博客
11-11 428
Nginx 是高性能的 HTTP 和反向代理的web服务器,处理高并发能力是十分强大的,能经受高负 载的考验,有报告表明能支持高达 50,000 个并发连接数。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。
Ansible学习----管理复杂的 Play 和 Playbook 内容
Chihiro1002的博客
11-12 692
摘要: 本章讲解Ansible复杂项目的管理技巧,包括主机模式选择与文件模块化方法。主机模式支持单主机、组、通配符及逻辑组合(如&和!)灵活筛选目标主机。模块化Playbook通过import_playbook(静态导入)和include_tasks(动态包含)拆分大型项目,提升可维护性,注意静态导入预处理与动态包含运行时处理的差异。变量复用通过参数化设计(如{{package}})结合主文件变量定义(vars)增强外部文件适应性。关键点:主机模式高效匹配、模块化拆分策略、动静处理区别、变量驱动复用
黑马点评学习笔记11(Redission)
2301_81189772的博客
11-14 153
Redission是一个基于Java的Redis客户端,提供分布式对象和服务,简化分布式系统开发。文章介绍了在优惠券秒杀系统中使用Redission实现分布式锁的步骤:1)引入Redission依赖;2)配置Redisson客户端;3)用Redission的RLock替换自定义锁。通过tryLock方法获取锁,使用AopContext获取代理对象确保事务生效,最后释放锁。相比手动实现分布式锁,Redission提供了更简单可靠的解决方案,适合高并发场景。
学习react第四天
最新发布
2301_81525305的博客
11-14 35
ReactRouter
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值