Golang JWT 认证 (一)- 后端

最新推荐文章于 2024-01-19 08:00:00 发布
最新推荐文章于 2024-01-19 08:00:00 发布
阅读量549 收藏 6
点赞数
文章标签: golang json 开发语言
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/LeoForBest/article/details/126561567
版权

文章目录

最近学习使用jwt,准备实现一个简单的使用jwt认证的前后端。
本篇为后端设计,配合gin框架,实现登录获取token,使用token访问api过程

一. 本例中JWT 认证过程原理

Client Server 1. POST /auth/login {"username": "leo", "password": "leo"} a. 后端生成并返回 token 2. HTTP Header 带Authorization: token请求API b. 后端提取token中身份信息,并决定处理结果 Client Server

a. token生成过程

生成token过程只需以下几部

  • 定义一个Claims结构
  • 根据用户信息创建一个claims
  • 使用jwt.NewWithClaims生成token然后返回给客户端签名的 string
// go get -u "github.com/golang-jwt/jwt/v4"

// 设置一个密钥
var jwtKey []byte = []byte("secret")

// 1. 定义一个Claims结构, 除了RegisteredClaims 其他为自定义附加在token中的信息
type customClaims struct {
	Username string `json:"username"`
	IsAdmin  bool   `json:"IsAdmin"`
	jwt.RegisteredClaims
}

// 2. 根据用户信息,创建一个claims
claims := customClaims{
	Username: 'leo',
	IsAdmin:  true,
	RegisteredClaims: jwt.RegisteredClaims{
	// 过期时间设置, 还有其他字段,也可以全部不设置
		ExpiresAt: &jwt.NumericDate{Time: time.Now().Add(1 * time.Hour)},
	},
}

// 3.使用claims创建并签名出token string
token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)

if tokenString, err := token.SignedString(jwtKey); err != nil {
	fmt.Println("generate access token failed: " + err.Error()})
} else {
	fmt.Println("user token is: " + tokenString)
}

b. token认证过程

关键函数和过程如下:

  1. tokenString解析到jwt.Token结构
  2. 从Token中解析到自定义的customClaims结构
  • jwt.ParseWithClaims(tokenString, &customClaims{}, func(t *jwt.Token) (interface{}, error) { return jwtKey, nil })
  • if claims, ok := token.Claims.(*customClaims); ok && token.Valid { fmt.PrintLn(claims.Username)}
// 客户端请求时添加HTTP头Authorization: Bearer tokenxxxxxxxxx
// 后端从http头中提取Authorization (其他自定义头也行,如 token, 这个好像是有个啥标准)
// 本例web 框架为gin框架,
func AuthRequired() gin.HandlerFunc {
	return func(ctx *gin.Context) {
		// 剔除Bearer 字符串
		tokenString := strings.TrimPrefix(ctx.GetHeader("Authorization"), "Bearer ")
		// 1. 解析出token
		token, err := jwt.ParseWithClaims(tokenString, &customClaims{}, func(t *jwt.Token) (interface{}, error) { return jwtKey, nil })
		if err != nil {
			ctx.AbortWithStatusJSON(http.StatusForbidden, gin.H{"code": -1, "msg": fmt.Sprintf("access token parse error: %v", err)})
			return
		}
		// 2. 从token中解析出自定义的claims结构, 并判断token和claims是否有效过期等
		if claims, ok := token.Claims.(*customClaims); ok && token.Valid {
			if !claims.VerifyExpiresAt(time.Now(), false) {
				ctx.AbortWithStatusJSON(http.StatusForbidden, gin.H{"code": -1, "msg": "access token expired"})
				return
			}
		// 3. 可以直接操作calims结构,如: claims.Username claims.Isadmin,这里是gin中间件,存放到ctx中,供处理函数使用
			ctx.Set("claims", claims)
		} else {
			ctx.AbortWithStatusJSON(http.StatusForbidden, gin.H{"code": -1, "msg": fmt.Sprintf("Claims parse error: %v", err)})
			return
		}
		ctx.Next()
	}
}

二: 整体代码以及测试

设计了以下两个API接口

  • /auth/login 登录获取token
  • /api/test 需要token认证才能访问

a. 测试

curl -X POST -H 'Content-Type:application/json' -d '{"username": "leo", "password": "leo"}' http://localhost:8080/auth/login
# {"code":0,"data":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImxlbyIsIklzQWRtaW4iOmZhbHNlLCJleHAiOjE2NjE2MDU0MzF9.1ai5pvT8CQ7bJdE4-v6i_nFfl2S_cNj6UwImwtDImko","msg":""}
curl -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImxlbyIsIklzQWRtaW4iOmZhbHNlLCJleHAiOjE2NjE2MDU0MzF9.1ai5pvT8CQ7bJdE4-v6i_nFfl2S_cNj6UwImwtDImko" http://localhost:8080/api/test
# {"code":0,"data":"current user: leo , is admin: false"}

在这里插入图片描述

b. 完整代码

package main

import (
	"fmt"
	"log"
	"net/http"
	"strings"
	"time"

	"github.com/gin-gonic/gin"
	"github.com/golang-jwt/jwt/v4"
)

var jwtKey []byte = []byte("secret")

type customClaims struct {
	Username string `json:"username"`
	IsAdmin  bool   `json:"IsAdmin"`
	jwt.RegisteredClaims
}

//gin jwt 认证中间件
func AuthRequired() gin.HandlerFunc {
	return func(ctx *gin.Context) {
		tokenString := strings.TrimPrefix(ctx.GetHeader("Authorization"), "Bearer ")
		token, err := jwt.ParseWithClaims(tokenString, &customClaims{}, func(t *jwt.Token) (interface{}, error) { return jwtKey, nil })
		if err != nil {
			ctx.AbortWithStatusJSON(http.StatusForbidden, gin.H{"code": -1, "msg": fmt.Sprintf("access token parse error: %v", err)})
			return
		}
		if claims, ok := token.Claims.(*customClaims); ok && token.Valid {
			if !claims.VerifyExpiresAt(time.Now(), false) {
				ctx.AbortWithStatusJSON(http.StatusForbidden, gin.H{"code": -1, "msg": "access token expired"})
				return
			}
			ctx.Set("claims", claims)
		} else {
			ctx.AbortWithStatusJSON(http.StatusForbidden, gin.H{"code": -1, "msg": fmt.Sprintf("Claims parse error: %v", err)})
			return
		}
		ctx.Next()
	}
}

type loginRequest struct {
	Username string `json:"username"`
	Password string `json:"password"`
}

func main() {
	r := gin.Default()
	r.POST("/auth/login", func(ctx *gin.Context) {
		var req loginRequest
		ctx.BindJSON(&req)

		if req.Username != req.Password {
			ctx.JSON(http.StatusOK, gin.H{"code": -1, "msg": "incorrect username or password"})
			return
		}

		log.Printf("login user " + req.Username)

		claims := customClaims{
			Username: req.Username,
			IsAdmin:  req.Username == "admin",
			RegisteredClaims: jwt.RegisteredClaims{
				ExpiresAt: &jwt.NumericDate{Time: time.Now().Add(1 * time.Hour)},
			},
		}

		token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)

		if tokenString, err := token.SignedString(jwtKey); err != nil {
			ctx.JSON(http.StatusOK, gin.H{"code": -1, "msg": "generate access token failed: " + err.Error()})
		} else {
			ctx.JSON(http.StatusOK, gin.H{"code": 0, "msg": "", "data": tokenString})
		}
	})

	api := r.Group("/api")
	api.Use(AuthRequired())
	api.GET("/test", func(ctx *gin.Context) {
		claims := ctx.MustGet("claims").(*customClaims)
		ctx.JSON(http.StatusOK, gin.H{"code": 0, "data": fmt.Sprintf("current user: %v , is admin: %v", claims.Username, claims.IsAdmin)})
	})

	r.Run(":8080")
}
LeoForBest
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
golang jwt验证
robin912的专栏
06-27 1779
安装 go get “github.com/dgrijalva/jwt-go” 登陆 // Create a new token object, specifying signing method and the claims // you would like it to contain. token := jwt.NewWithClaims(jwt.SigningMethodHS256...
golang工程组件之轻量级认证机制jwt
SMILY12138的博客
04-12 316
JWTJSON Web Token)是一种轻量级的认证机制,它可以传输在网络上的用户身份和声明信息,以及一些其他的元数据。这个库是比较流行的一个库,维护的也比较活跃。这个库是比较新的一个库,它可以用来对Token进行签名和验证。(1)Token过期问题:由于Token是有有效期的,所以必须要定期更新Token。(2)Token泄露问题:如果Token被泄露,攻击者可以利用该Token来访问受保护的资源。(3)可扩展性:JWT的Payload部分可以包含任何JSON格式的数据,因此它非常灵活。
Golang 实现JWT认证
热门推荐
neweastsun的专栏
05-04 1万+
Golang 实现JWT认证 认证是让应用知道给应用发送请求的人是他所说的那个人。JSON web token (JWT)是认证的一种方式,相比于基于Session认证,在系统中并不存储任何关于用户信息。 本文演示使用Golang实现基于JWT认证的示例应用。 1. JWT 1.1. JWT格式 假设用户user1尝试登录应用,成功后收到token信息如下: eyJhbGciOiJIUzI1NiI...
Golang 搭建 WebSocket 应用(四) - jwt 认证
rubys007的博客
01-19 1700
JWT是的缩写,是一种用于在网络中安全传递信息的开放标准。它是一种紧凑且自包含的方式,用于在各方之间传递信息,通常用于身份验证和授权机制。JWT主要由三个部分组成:头部(Header): 包含关于令牌的元数据,例如令牌的类型(typ)和签名算法(alg头部是一个JSON对象,通常会经过Base64编码。载荷(Payload): 包含要传递的信息,通常包括用户身份信息以及其他声明。载荷也是一个JSON对象,同样经过Base64编码。签名(Signature。
Golang中使用 JWT认证来 保障Restful JSON API的安全(英文) - 推酷
11-22
Golang中使用 JWT认证来 保障Restful JSON API的安全(英文) - 推酷
一个Go Golang后端干净架构项目,包含Gin MongoDB JWT认证中间件测试和Docker.zip
最新发布
05-25
这个压缩包文件“一个Go Golang后端干净架构项目,包含Gin MongoDB JWT认证中间件测试和Docker.zip”提供了一个完整的Go语言后端开发框架,它基于GolangGin框架,结合了MongoDB数据库,实现了JWTJSON Web Token...
详解Go-JWT-RESTful身份认证教程
09-18
Go语言中实现JWT认证的过程通常包含生成Token和验证Token两个步骤。开发者首先需要使用一个包来生成JWT,这可以通过安装第三方的JWT库来实现,比如常用的`jwt-go`库。当一个用户成功登录系统后,系统会生成一个JWT,...
[golang] 实现 jwt 方式登录
咸鱼老罗的博客
02-13 993
JSON Web Token(缩写 JWT)是目前流行的跨域认证解决方案,原理是生存的凭证包含标题 header,有效负载 payload 和签名组成。用户信息payload中,后端接收时只验证凭证是否有效,有效就使用凭证中的用户信息。签名是通过标题 header,有效负载 payload 和密钥(后端保存,不可泄露)生成。JWT 介绍:https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html。
golang-rest-api-mysql:使用Golang和MySQL构建的简单Rest Api
03-27
总之,使用Golang和MySQL构建REST API是一种高效且可靠的方法,它允许开发者快速地搭建具有高性能和可扩展性的后端服务。通过熟练掌握Go语言的特性以及数据库操作,你将能够构建出强大的API服务。
JWT的介绍与应用
CONSOLE11的博客
12-30 3583
目录 2.JWT的应用场景 3.JWT的应用详解 4.为什么要用JWT 2.1 传统Session认证的弊端 2.2 JWT认证的优势 5.JWT结构 1.Header 2.Payload 3.Signature 6.JWT的种类 JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT
golang jwt+token验证的实现
12-16
Token验证是验证用户身份的重要方式,在golang开发中具有广泛应用,文中主要阐述了利用jwt包加密后的token验证。 导入包: import ( "github.com/dgrijalva/jwt-go" ) // GenerateToken 生成Token func GenerateToken(mapClaims jwt.MapClaims, key string) (string, error) { token := jwt.NewWithClaims(jwt.SigningMethodHS256, mapClaims) return token.SignedStri
golang工程组件篇 轻量级认证机制jwt之HS、RS. ES、ED签名与验证
SMILY12138的博客
05-30 285
HS、RS、ES和ED是JWT中常用的签名算法,在Golang中可以使用相应的包进行签名和验证操作。然后,我们使用jwt-go包创建了一个新的JWT令牌,并将一些声明添加到令牌中。接着,我们对JWT令牌进行签名,并将签名后的令牌保存到signedToken变量中。然后,我们使用jwt-go包创建了一个新的JWT令牌,并将一些声明添加到令牌中。然后,我们使用jwt-go包创建了一个新的JWT令牌,并将一些声明添加到令牌中。然后,我们使用jwt-go包创建了一个新的JWT令牌,并将一些声明添加到令牌中。
golang工程组件篇 轻量级认证机制jwt之轻量级认证机制jwt
SMILY12138的博客
05-30 176
Golang中使用第三方包http://github.com/dgrijalva/jwt-go可以方便地实现JWT的生成和校验。JWTJSON Web Token)是一种轻量级的认证机制,可以在不需要Cookie或Session的情况下进行安全身份验证。然后,我们使用密钥对JWT进行签名,并获取完整的编码后的字符串token。在Golang中,我们可以使用第三方包http://github.com/dgrijalva/jwt-go来实现JWT的生成和校验。接下来,我们解析并验证了该JWT
Go 中 JWT 身份验证指南
分享身边生活经验blog
10-13 2054
JSON Web 令牌 (JWT) 是处理在线身份验证的流行方法,您可以使用任何服务器端编程语言实现 JWT 身份验证。对于一般的 JWT 阅读背景知识,我建议通过 LogRocket 博客上的这些文章了解更多关于JWT、最佳实践和使用 JWT 保护 RESTful API的信息。本文旨在帮助您开始使用该包在您的 Go Web 应用程序中实现 JWT 身份验证。golang-jwt由于其特性和易用性,该包是在 Go 中实现 JWT 最流行的包。该包提供了生成和验证 JWT 的功能。
在CSDN学Golang工程组件(轻量级认证机制jwt
YKM_2580的博客
07-14 188
在上面的代码中,我们使用crypto/rand包生成一个32字节的随机秘钥key,并将其编码为base64字符串返回。在上面的代码中,我们使用crypto/ed25519包生成了一个Ed25519秘钥,并将其编码为hex格式字符串返回。在上面的代码中,我们使用crypto/rsa包生成了一对2048位的RSA公私钥,并将其转换为pem格式字符串返回。在上面的代码中,我们使用crypto/ecdsa包生成了一对椭圆曲线公私钥,并将其转换为pem格式字符串返回。RS 签名使用 RSA 算法,需要生成公私钥对。
golang入门笔记——jwt
qq_43716830的博客
06-11 806
jwt全称(JSON WEB TOKEN),是一种后台不做存储的前端身份验证的工具。分为三部分:Header、Claims、Signature
golang jwt
qq_42170897的博客
05-28 1317
golang jwt
Golang快速开发框架——增加认证基础测试模块(十)
CN華少的博客
03-20 179
Golang快速开发框架——增加认证基础测试模块(十) 背景 知识分享之Golang篇是我在日常使用Golang时学习到的各种各样的知识的记录,将其整理出来以文章的形式分享给大家,来进行共同学习。欢迎大家进行持续关注。 知识分享系列目前包含Java、Golang、Linux、Docker等等。 开发环境 系统:windows10 语言Golang golang版本:1.18 代码仓库:Fast...
golang-jwt使用
a1023934860的博客
06-07 3907
1.在使用之前我们应该对它进行安装与导入 2.既然导入成功那就开始使用吧 3.逐步讲解首先我们先查看第一步 newWithClaims会返回一个Token结构体,而这个token结构体有以下属性 我们可以通过该结构体获取到加密后的字符串信息。接下来我们需要讲解一下Claims该结构体存储了token字符串的超时时间等信息以及在解析时的Token校验工作。 就是一个map集合,但是它实现了上面Valid()方法,该方法里面实现了对token过期日期校验、发布时间、生效时间的校验工作。 所以在map里面有三个固
golang-jwt
09-16
golang-jwt是一个在Go中实现JWT的流行包。它提供了生成和验证JWT的功能,并且因其特性和易用性而受到欢迎。要使用golang-jwt包,您需要在安装后创建一个Go文件并导入所需的包和模块。您可以使用`import`语句导入以下包: ``` import ( "log" "encoding/json" "github.com/golang-jwt/jwt" "net/http" "time" ) ``` 安装golang-jwt包的先决条件是设置好Go工作区并初始化Go模块文件。在终端上的工作区目录中运行以下命令以安装包: ``` go get github.com/golang-jwt/jwt ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值