Go语言jwt无感刷新以及解决SSO单点登录限制

最新推荐文章于 2024-03-07 10:32:50 发布
最新推荐文章于 2024-03-07 10:32:50 发布
阅读量1.7k 收藏 18
点赞数 2
分类专栏: 我与中间件 文章标签: golang JWT 无感刷新 SSO单点登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cczj0/article/details/128819941
版权

前言

为什么使用JWT?

Jwt提供了生成token以及token验证的方法,而token是一种不用存储在服务端,只需要由用户携带即可实现认证的一种方式。在介绍JWT之前,我们也应该先了解cookiesession

Cookie和Session

为每一位用户设定一个SessionID,每次都需要对该SessionID进行比对。这个SessionID可能会保存在Cookie中,安全性不高,并且容易过期(一般session的过期时间都为30分钟)。由于cookiesession需要保存在服务端,当用户量非常大的时候,服务端的负载就会越来越大。甚至有因此崩溃的可能。所以采用token认证的方式。

token (header.payload.signature)

每个用户在进行登录的时候如果登录信息正确就会收到服务端颁发的令牌token。当用户每次进行请求时都会携带一个token。该token会在服务端进行校验处理,复杂一点还需要经过一系列中间件的处理,确认token格式和参数是否正确。如果一切正常就需要对该用户的本次操作进行放行。

token 安全性

如果token被非用户人员获取到,由于token已经颁发,在此token生效期间服务端无法对其进行解除,因为它并不在服务端内部进行保存。也就是说服务端的token一旦颁发就无法取消。

基于token安全性的处理 access token 和 refresh token

以下access token简称 atokenrefresh token 简称 rtoken。无感刷新方式。

在用户登录的时候颁发两个token,atokenrtokenatoken 的有效期很短,根据业务实际需求可以自定义。一般设置为10分钟足够。rtoken有效期较长,一般可以设置为一星期或者一个月,根据实际业务需求可以自行定义。(根据查询资料得知 rtoken需要进行client-sercet才能有效)。当atoken过期之后可以通过rtoken进行刷新,但是rtoken过期之后,只能重新登录来获取。

atoken丢失之后没关系,因为它有效期很短。当rtoken丢失之后也没关系,因为他需要配合client-sercet才能使用。

客户端与服务端基于无感刷新流程图

在这里插入图片描述

golang实现atoken和rtoken

引入jwt库 go get -u github.com/golang-jwt/jwt/v4

颁发token
// GenToken 颁发token access token 和 refresh token
func GenToken(UserID int64, Username string) (atoken, rtoken string, err error) {
	rc := jwt.RegisteredClaims{
		ExpiresAt: getJWTTime(ATokenExpiredDuration),
		Issuer:    TokenIssuer,
	}
	at := MyClaim{
		UserID,
		Username,
		rc,
	}
	atoken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, at).SignedString(mySecret)

	// refresh token 不需要保存任何用户信息
	rt := rc
	rt.ExpiresAt = getJWTTime(RTokenExpiredDuration)
	rtoken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, rt).SignedString(mySecret)
	return
}

在验证用户登录之后,根据传入的UID和Uname,生成atokenrtoken。在颁发token中可以规定token的过期时间

func (t *Token) SignedString(key interface{}) (string, error)
SignedString creates and returns a complete, signed JWT. The token is signed using the SigningMethod specified in the token.

SignedString该方法主要用于token的数字签名

校验token
// VerifyToken 验证Token
func VerifyToken(tokenID string) (*MyClaim, error) {
	var myc = new(MyClaim)
	token, err := jwt.ParseWithClaims(tokenID, myc, keyFunc)
	if err != nil {
		return nil, err
	}
	if !token.Valid {
		return nil, ErrorInvalidToken
	}

	return myc, nil
}

根据传入的token值来判断是否有错误,如果错误为无效,说明token格式不正确。然后校验token是否过期。

无感刷新token
// RefreshToken 通过 refresh token 刷新 atoken
func RefreshToken(atoken, rtoken string) (newAtoken, newRtoken string, err error) {
	// rtoken 无效直接返回
	if _, err = jwt.Parse(rtoken, keyFunc); err != nil {
		return
	}
	// 从旧access token 中解析出claims数据
	var claim MyClaim
	_, err = jwt.ParseWithClaims(atoken, &claim, keyFunc)
	// 判断错误是不是因为access token 正常过期导致的
	v, _ := err.(*jwt.ValidationError)
	if v.Errors == jwt.ValidationErrorExpired {
		return GenToken(claim.UserID, claim.Username)
	}
	return
}

注释已经写得很明白了,会根据旧的atoken和rtoken来返回新token。

完整实现代码
package main

import (
	"errors"
	"time"

	"github.com/golang-jwt/jwt/v4"
)

const (
	ATokenExpiredDuration  = 2 * time.Hour
	RTokenExpiredDuration  = 30 * 24 * time.Hour
	TokenIssuer            = ""
)

var (
	mySecret          = []byte("xxxx")
	ErrorInvalidToken = errors.New("verify Token Failed")
)

type MyClaim struct {
	UserID   int64  `json:"user_id"`
	Username string `json:"username"`
	jwt.RegisteredClaims
}

func getJWTTime(t time.Duration) *jwt.NumericDate {
	return jwt.NewNumericDate(time.Now().Add(t))
}

func keyFunc(token *jwt.Token) (interface{}, error) {
	return mySecret, nil
}

// GenToken 颁发token access token 和 refresh token
func GenToken(UserID int64, Username string) (atoken, rtoken string, err error) {
	rc := jwt.RegisteredClaims{
		ExpiresAt: getJWTTime(ATokenExpiredDuration),
		Issuer:    TokenIssuer,
	}
	at := MyClaim{
		UserID,
		Username,
		rc,
	}
	atoken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, at).SignedString(mySecret)

	// refresh token 不需要保存任何用户信息
	rt := rc
	rt.ExpiresAt = getJWTTime(RTokenExpiredDuration)
	rtoken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, rt).SignedString(mySecret)
	return
}

// VerifyToken 验证Token
func VerifyToken(tokenID string) (*MyClaim, error) {
	var myc = new(MyClaim)
	token, err := jwt.ParseWithClaims(tokenID, myc, keyFunc)
	if err != nil {
		return nil, err
	}
	if !token.Valid {
		err = ErrorInvalidToken
		return nil, err
	}

	return myc, nil
}

// RefreshToken 通过 refresh token 刷新 atoken
func RefreshToken(atoken, rtoken string) (newAtoken, newRtoken string, err error) {
	// rtoken 无效直接返回
	if _, err = jwt.Parse(rtoken, keyFunc); err != nil {
		return
	}
	// 从旧access token 中解析出claims数据
	var claim MyClaim
	_, err = jwt.ParseWithClaims(atoken, &claim, keyFunc)
	// 判断错误是不是因为access token 正常过期导致的
	v, _ := err.(*jwt.ValidationError)
	if v.Errors == jwt.ValidationErrorExpired {
		return GenToken(claim.UserID, claim.Username)
	}
	return
}

SSO(Single Sign On)单用户登录以及无感刷新token

实现思路

因为token是由服务端颁发并且每次用户的操作都要在服务端校验token的有效性。因此两个用户在不同时间段登录同一个账号,那么他们的token肯定会因为时间而有所差别。我们可以将token存放在redis中,与用户ID进行key-value绑定。如果通过userID查询到的token不同,那么说明这个用户的token已经被更换(该账号又被登录了)或者token错误。就需要重新进行登录操作。

实战代码
// parts[1]是获取到的atoken,我们使用之前定义好的解析JWT的函数来解析它
mc, err := jwt.VerifyToken(parts[1])
if err != nil {
    // 如果解析失败,可能是因为token过期,可以进入refreshToken进行判断
   if newAtoken, newRtoken, err := jwt.RefreshToken(parts[1],rtoken); err == nil {
       // 如果无错误,就更新redis中的token
      if err = redis.SetSingleUserToken(mc.Username, newAtoken); err == nil {
          // 这里根据需求返回给前端,由前端进行处理
         c.Writer.Header().Set("newAtoken", newAtoken)
         c.Writer.Header().Set("newRtoken", newRtoken)
         // 如果无错误,请求继续
          c.Next()
      }
   }
    // 这里使用的是gin框架, 如果有错误直接阻止并返回
   c.Abort()
   return
}
// 如果解析成功,就在redis中进行判断,是否单用户登录
// 通过获取redis中的token来校验是否单用户登录
token, err := redis.GetSingleUserToken(mc.Username)
if err != nil {
   serializer.ResponseError(c, e.CodeServerBusy)
   c.Abort()
   return
}

判断过程

  1. 请求从前端传来,经过认证中间件进行校验token,如果没有问题就进行redis单用户校验。
  2. 如果有问题,可能是token过期。进行无感刷新,如果刷新成功将新token设置在header中,请求继续
  3. 如果无感刷新失败请求阻止。

小结

  • token需要保存在客户端中,由前端代码进行管理。后端只需做校验和刷新处理。
  • 如果使用双token就用无感刷新。
  • 如果使用单token就用token校验。
  • SSO单点登录限制可以通过redis实现。
捶捶自己
关注
  • 2
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Golang 的JWT 类的详解
canduecho的专栏
05-26 2074
这段代码是用 Go 语言实现 JWT 认证的基本功能,以下是对代码的解释和一些潜在的改进建议:JWT 类型代表了 jwt-token 认证的配置,包括了加密和刷新 token 的密钥、token 过期时间等。NewJWT 是用于创建 JWT 实例的工厂函数,它接受一个字符串类型的加密密钥和刷新密钥,还有一个 time.Duration 类型的 token 过期时间。函数返回一个新的 JWT 实例指针。我们可以通过这个实例来实现 jwt-token 的生成和验证。
go-sso:基于Golang实现的登录系统(go-sso),实现手机号注册,手机号+验证码登录,手机号+密码登录,账号登出等功能,用户认证采用cookie和jwt两种方式
03-11
golang登录系统(go-sso) 这是一个基于Go语言开发的登录系统,实现手机号注册,手机号+验证码登录,手机号+密码登录,账号登出等功能,用户认证采用cookie和jwt两种方式。方法已提供,仅需根据短信通道提供商提供的接口做相应的参数配置即可使用。 环境介绍 golang语言go1.13.3 +, 数据库:mysql5.7 缓存:redis3.0 项目地址 依赖包: github.com/dgrijalva/jwt-go github.com/gin-gonic/gin github.com/go-xorm/xorm github.com/go-sql-driver/mysql 注意:项目代码依赖管理工具采用的 ,需要了解的移步 数据请求类型 Content-Type: application/json 注:这个一定要注意,其他类型服务端不识别。 快速开始 1,数据库
Go JWT 全面指南
最新发布
cmy_top的博客
03-07 1308
本文首先对 JWT 进行了概述,随后深入讲解了在 Go 语言下使用 JWT 的全过程。内容包括安装 GoJWT 模块、创建 JWT 对象、生成 JWT 字符串以及解析 JWT 字符串的详细指南。
详解Go-JWT-RESTful身份认证教程
01-03
1.什么是JWT JWT(JSON Web Token)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息, 一个JWT由三部分组成,Header头部、Claims载荷、Signature签名, JWT原理类似我们加盖公章或手写签名的的过程,合同上写了很多条款,不是随便一张纸随便写啥都可以的,必须要一些证明,比如签名,比如盖章,JWT就是通过附加签名,保证传输过来的信息是真的,而不是伪造的, 它将用户信息加密到token里,服务器不保存任何用户信息,服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证, 2.JWT构成 一个JWT由三部分组成,H
PHP 使用TP5.0 实现SSO登录
07-28
因为公司要实现SSO登录的效果,最近在网上找了一些资料,但是都没有好用的, 所以自己用PHP 使用TP5.0 实现了SSO登录,可以跨多个域名。 下载后在本地配置好 A,B,C 3个网站,就可以模拟效果了。
基于JWT实现SSO登录流程图解
08-18
主要介绍了基于JWT实现SSO登录流程图解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
go-jwt学习总结
qq_26105397的博客
01-22 7235
一.概念 jwt,全名(json web token),是一种跨域的认证的解决方案,属于一个开放的标准。使用其规定了一种token的实现方式。 二.为什么使用 传统的的web项目,使用的都是session来认证用户的信息,具体的流程如下: 1.用户通过浏览器将账号跟密码传输给后台服务。 2.服务端对用户跟密码校验后会生成一份保存当前用户信息的session和一个对应的session_id。 3.如果返回响应的时候会将生成的session_id一并返回,浏览器会将该值写入cookie中。 4.如
GoJWT详解
思维小刀
01-20 1027
JWT详解 | 包包的Tech Pool
go 进阶 三方库之 jwt-go
qq_29799655的博客
05-11 1028
根据JWT Token中是否存在Signature签名又将JWT分为两类: 不使用Signature签名的JWT称为nonsecure JWT未经过签名,不安全的JWT,其header部分也没有指定签名算法, 使用了Signature签名的通过签名保证jwt不能被他人随意篡改,我们又称为JWS。
GoJWT 身份验证指南
分享身边生活经验blog
10-13 1970
JSON Web 令牌 (JWT) 是处理在线身份验证的流行方法,您可以使用任何服务器端编程语言实现 JWT 身份验证。对于一般的 JWT 阅读背景知识,我建议通过 LogRocket 博客上的这些文章了解更多关于JWT、最佳实践和使用 JWT 保护 RESTful API的信息。本文旨在帮助您开始使用该包在您的 Go Web 应用程序中实现 JWT 身份验证。golang-jwt由于其特性和易用性,该包是在 Go 中实现 JWT 最流行的包。该包提供了生成和验证 JWT 的功能。
Spring Security基于JWT实现SSO登录详解
08-25
主要介绍了Spring Security基于JWT实现SSO登录详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
golang实现登录系统(go-sso
01-19
这是一个基于Go语言开发的登录系统,实现手机号注册、手机号+验证码登录、手机号+密码登录、账号登出等功能,用户认证采用cookie和jwt两种方式。收发短信相关方法已提供,仅需根据短信通道提供商提供的接口做相应的参数配置即可使用。 环境介绍 golang语言go1.13.3+ 、 数据库:mysql5.7 缓存:redis3.0 项目地址 https://github.com/guyan0319/ … 依赖包: github.com/dgrijalva/jwt-go github.com/gin-gonic/gin github.com/go-xorm/xorm github.com/
jwt手写SSO登录框架zip
07-02
手写的JWT,实现SSO框架,将获取到的Token保存在cookie中。简的练习练习权限框架,提升自己
spring boot如何基于JWT实现登录详解
08-25
主要介绍了spring boot如何基于JWT实现登录详解,用户只需登录一次就能够在这两个系统中进行操作。很明显这就是登录(Single Sign-On)达到的效果,需要的朋友可以参考下
登录SSO解决方案之SpringSecurity+JWT实现.docx
10-26
登录SSO解决方案之SpringSecurity+JWT实现.docx
Go实现jwt
滢光点点
04-20 6260
版权声明:本文为博主原创文章,博客地址: https://blog.csdn.net/zxy_666/article/details/80021331,未经博主允许不得转载。 基础知识前瞻 前言: 因为http协议是一种无状态协议,这就涉及用户访问系统的状态保持问题。 在登录系统的设计中,当用户访问系统时,服务器需要认证用户登录相关的信息,以决定用户能否登录到系...
44.jwtgo中的使用及原理
YouMing_Li的博客
11-27 357
是一种用于身份验证的开放标准,它通过在用户和服务器之间传递被加密的JSON对象来安全地传输信息。JWT由三个部分组成:头部、载荷和签名。其中,头部包含加密算法和token类型等信息,载荷包含存储在token中的用户信息,签名用于验证token的真实性和完整性。避免在token中存储敏信息,比如密码、银行卡号等。需要使用安全的算法来签名和加密token,比如使用HMAC或RSA加密。token中包含的用户信息不应该过多,只保留必要的信息即可。在使用JWT进行身份验证时,需要防止令牌被盗用。
Go中使用JWT
寻找到底哪里有蓝天
04-20 170
原文链接:https://blog.csdn.net/m0_58121644/article/details/129643351 JWT (JSON Web Tokens) 是一种基于 JSON 格式的轻量级身份验证和授权方案。在 Go 项目中使用 JWT,一般需要完成以下步骤: 1. 安装 JWT 库 在 Go 项目中使用 JWT 需要先安装 JWT 库,可以使用以下命令安装: go ge...
jwt sso登录
06-01
JWT(JSON Web Token)是一种轻量级的身份验证和授权机制,可以用于实现 SSO(Single Sign-On)登录。 在使用 JWT 实现 SSO 登录时,用户登录后,认证中心会生成一个 JWT Token,并将 Token 发送给用户客户端。用户在访问其他应用时,只需要在请求头中携带 JWT Token,其他应用就可以通过验证 JWT Token 来判断用户的身份,从而实现登录。 需要注意的是,为了保证安全性,JWT Token 必须使用私钥签名,并且在每次验证时都需要对 Token 进行签名验证。同时,JWT Token 的有效期也需要控制在一定范围内,以保证安全性和用户体验的平衡。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

捶捶自己

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值