JWT-golang

最新推荐文章于 2024-06-14 15:03:41 发布
最新推荐文章于 2024-06-14 15:03:41 发布
阅读量689 收藏
点赞数
文章标签: jwt golang
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hengchi_hengchi/article/details/121519816
版权

JWT简介

JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

JWT使用

在认证的时候,即当用户使用凭证成功登录成功后,一个JSON Web Token将会被返回,即token。该字符串即时用户凭证了,当用户想访问受保护的路由或者资源时,用户代理通常是浏览器都应该带上该凭证,通常是放在Authorization Header中。服务器会检查该JWT是否有效,如果有效则才能访问成功。JWT可以携带部分数据以减少数据库压力。

JWT特点

1、无状态。不在服务端存储,减少服务端压力。

2、一次性的。在jwt失效之前都是有效的,信息更新重新签发的新的JWT,旧的还没过期,依旧可以绕过验证。需要服务端有额外的逻辑,防止再次使用。引入redis,其实有点违背特点1了。

3、jwt太长。若在jwt中放入其他数据很可能会出现,http请求Header>Body,因而使用开销略大。

JWT结构

JWT(JSON Web Token)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息,一个JWT由三部分组成,Header头部、Claims载荷、Signature签名

1、JWT-Header,加密算法通常直接使用SHA256

{ "typ": "JWT","alg": "HS256"}

2、JWT-Claims负载

type StandardClaims struct {
    // 受众
	Audience  ClaimStrings `json:"aud,omitempty"`
    // 过期时间
	ExpiresAt *Time        `json:"exp,omitempty"`
    // 编号
	ID        string       `json:"jti,omitempty"`
    // 签发时间
	IssuedAt  *Time        `json:"iat,omitempty"`
    // 签发人
	Issuer    string       `json:"iss,omitempty"`
    // 生效时间
	NotBefore *Time        `json:"nbf,omitempty"`
    // 主题
	Subject   string       `json:"sub,omitempty"`
}

3、JWT-Signature对前两部分进行签名防止被篡改

Token结构体内容:

type Token struct {
	Raw       string                 // The raw token.  Populated when you Parse a token
	Method    SigningMethod          // The signing method used or to be used
	Header    map[string]interface{} // The first segment of the token
	Claims    Claims                 // The second segment of the token
	Signature string                 // The third segment of the token.  Populated when you Parse a token
	Valid     bool                   // Is the token valid?  Populated when you Parse/Verify a token
}

JWT生成流程(github.com/dgrijalva/jwt-go):

1、初始化一个token,可通过构造父类,在Claims中添加一些附加信息

token := jwt.NewWithClaims(
        // 加密方式
		jwt.SigningMethodHS256,
		jwt.StandardClaims{
            // 过期时间
			ExpiresAt: jwt.At(time.Now().Add(xxx)),
		})


// NewWithClaims creats a new token with a specified signing method and claims type
func NewWithClaims(method SigningMethod, claims Claims) *Token {
	return &Token{
		Header: map[string]interface{}{
			"typ": "JWT",
			"alg": method.Alg(),
		},
		Claims: claims,
		Method: method,
	}
}

===>token内容如下:

{
	"token": {
		"Raw": "",
		"Method": {
			"Name": "HS256",
			"Hash": "SHA256"
		},
		"Header": [
			{
				"typ": "JWT",
				"alg": "HS256"
			}
		],
		"StandardClaims": {
			"ExpireAt": "2021-12-24 16:35:14.657703 +0800"
		},
		"Signature": "",
		"Valid": false
	}
}

2、密钥加密生成一个三段式(中间使用两个.隔开)字符串,

tokenString, err := token.SignedString(hmacSecret) //案例如下行:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2luZm8iOnsidWlkIjozLCJyb2xlX2lkIjo1LCJ1c2VybmFtZSI6IirnrqHnkIblkZgiLCJsYXN0X2xvZ2luX2F0IjoiMjAyMS0xMS0yNFQxNjo0ODoxMC44Nzk4OTE0KzA4OjAwIiwidXNlcl9hZ2VudCI6IlBvc3RtYW5SdW50aW1lLzcuMjguNCIsImRldmljZV90eXBlIjoiQU5EUk9JRCIsImVuZF9hdCI6eyJUaW1lIjoiMDAwMS0wMS0wMVQwMDowMDowMFoiLCJWYWxpZCI6ZmFsc2V9fSwiZXhwIjoxNjQwMzM1Njk0Ljk1MjY0N30.lqFu8xEvJMq31wpTVwBYjFRLt8xefHf7OxC1q1oy__8

该字符串包含三个部分,

        Header头部,

        Payload负载即上述Claims

        Signature 签名/签证

// SignedString returns the complete, signed token
func (t *Token) SignedString(key interface{}, opts ...SigningOption) (string, error) {
	var sig, sstr string
	var err error
    /* 
    此方法将token中的Header和Claims分别编码并用点连接,部分源码如下
    func (t *Token) SigningString(opts ...SigningOption) (string, error) {
	    ...
	    inputParts := []interface{}{t.Header, t.Claims}
	    parts := make([]string, 2)
	    for i, v := range inputParts {
		    ctx := CodingContext{FieldDescriptor(i), t.Header}
		    ...
	    }
	    return strings.Join(parts, "."), nil
    }

    */
	if sstr, err = t.SigningString(opts...); err != nil {
		return "", err
	}
    // 对前两部分由.拼接的字符串进行签名
	if sig, err = t.Method.Sign(sstr, key); err != nil {
		return "", err
	}
    // 再拼接.
	return strings.Join([]string{sstr, sig}, "."), nil
}
服务端解码,直接上代码:
func Parse(tokenString string) (*UserInfo, error) {
	token, err := jwt.ParseWithClaims(
		tokenString,
		&UserClaims{},
		func(token *jwt.Token) (interface{}, error) {
			if token.Method.(*jwt.SigningMethodHMAC) != alg {
				return nil, fmt.Errorf("Unexpected signing method: %v", token.Header["alg"])
			}
			return hmacSecret, nil
		},
	)

	if err != nil {
		return nil, err
	}

	if claims, ok := token.Claims.(*UserClaims); ok && token.Valid {
		return &claims.UserInfo, nil
	} else {
		return nil, fmt.Errorf("token非法: %s", tokenString)
	}
}

hengchi_hengchi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
GolangJWT 类的详解
canduecho的专栏
05-26 2120
这段代码是用 Go 语言实现 JWT 认证的基本功能,以下是对代码的解释和一些潜在的改进建议:JWT 类型代表了 jwt-token 认证的配置,包括了加密和刷新 token 的密钥、token 过期时间等。NewJWT 是用于创建 JWT 实例的工厂函数,它接受一个字符串类型的加密密钥和刷新密钥,还有一个 time.Duration 类型的 token 过期时间。函数返回一个新的 JWT 实例指针。我们可以通过这个实例来实现 jwt-token 的生成和验证。
okta-jwt-verifier-golang:okta-jwt-verifier-golang
05-10
版本地位0.x :warning: Beta版本(已淘汰) 1.x :check_mark: 释放安装go get -u github.com/okta/okta-jwt-verifier-golang用法建立该库是为了将配置保持在最低限度。 为了使其以最基本的形式运行,您需要提供的是...
Golang JWT
qq_37112905的博客
08-29 193
Golang JWT http的无状态催生了cookie 和seesion Cookie cookie是保存在客户端中的客户端相关的用户信息:用户名密码等可以用于服务端的二次验证,初始访问时的客户端请求不携带cookie,服务端会为其添加对应的cookie字段二次访问时cookie和客户端请求一起发送到服务端 Cookie分为会话Cookie和持久Cookie: 会话Cookie不保存到硬盘...
Golang使用Token
最新发布
weixin_44284775的博客
06-14 306
当你登录某个网站时,服务器会给你一个Token,这个Token里面有一些信息,比如你是谁(用户身份)。以后你再访问这个网站的时候,就可以带上这个Token,服务器通过验证Token来确认你是合法的用户,而不是别人假冒的。Token就像是一张通行证,用户登录后得到这张通行证,后续访问时带上它,服务器通过验证通行证来确认用户身份。每次用户带着Token访问服务器时,我们需要验证Token的合法性,确认这个Token是我们生成的,并且没有过期。当用户登录时,我们生成一个Token并返回给用户。
golangjwt-go
weixin_30469895的博客
08-22 691
主要针对jwt-go快速生成token。和如何取进行介绍,具体详情还请查看 github.com/dgrijalva/jwt-go 生成token package main import ( "flag" "fmt" "github.com/dgrijalva/jwt-go" "github.com/micro/go-micro/config" "ti...
JWT的介绍与应用
CONSOLE11的博客
12-30 3578
目录 2.JWT的应用场景 3.JWT的应用详解 4.为什么要用JWT 2.1 传统Session认证的弊端 2.2 JWT认证的优势 5.JWT结构 1.Header 2.Payload 3.Signature 6.JWT的种类 JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT
golang中的JWT
猛犸象
10-09 755
JWT是一种协议,和语言无关,只需要按照协议来加密和解析即可,但是golang是强类型的,所以自定义的claims中的各字段要正确定义,否则无法解析。 首先需要设置加密算法(比如 HS256)和 JWT Secret。 当拿到一个JWT Token之后可以先Debug查看其三个部分的定义。 关于JWT的原理可以参考 https://blog.csdn.net/raoxiaoya/article/details/101781339 也就是说,通过JWT Token 就可以知道算法(第一部分)和claims(
jwt-practice:JWTGolang中的实践
03-19
Golang中,JWT通常用于实现用户认证和授权,为Web应用或API提供安全的身份验证服务。 JWT结构主要由三部分组成:Header、Payload和Signature。Header通常包含了Token的类型(JWT)和使用的签名算法,如HS256...
Go中获取JWT令牌的示例-Golang开发
05-26
简约的Go JWT Auth示例依赖关系github.com/dgrijalva/jwt-go github.com/garyburd/redigo/redis github.com/gorilla/mux golang.org/x/crypto/bcrypt安装安装redis克隆简约的Go JWT Auth示例依赖关系github....
详解Go-JWT-RESTful身份认证教程
09-18
开发者首先需要使用一个包来生成JWT,这可以通过安装第三方的JWT库来实现,比如常用的`jwt-go`库。当一个用户成功登录系统后,系统会生成一个JWT,并将此Token返回给用户。之后用户的每次请求都会携带这个Token,...
golang-auth-jwt:golang-auth-jwt
03-30
golang-auth-jwt 你好呀 提出后端Golang + Auth中间件+ JWT,MYSQL 包裹 运行-u github.com/dgrijalva/jwt-go 去运行-u github.com/gin-gonic/gin 环保 SECRET_KEY =“ ......” 功能 登入 报名 刷新令牌 登出 ...
golangJWT实现的示例代码
01-19
什么是JSON Web Token? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON方式安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 直白的讲jwt就是一种用户认证(区别于session、cookie)的解决方案。 出现的背景 众所周知,在jwt出现之前,我们已经有session、cookie来解决用户登录等认证问题,为什么还要jwt呢? 这里我们先了解一下session,cookie。 sessi
Go-jwthelper是一个Golang包提供了JWT(JSONWebToken)功能基于jwt-go.
08-14
jwthelper是一个Golang包提供了JWT(JSON Web Token)功能基于jwt-go.
golang中的jwt
后台开发
11-06 305
最近项目中需要用到鉴权机制,golangjwt可以用。下面分享两个jwt demo,一个用gin实现,一个用golang中的原生http实现。 https://www.cnblogs.com/jiujuan/p/11403066.html https://blog.csdn.net/cbmljs/article/details/86072395 ...
go 进阶 三方库之 jwt-go
qq_29799655的博客
05-11 1223
根据JWT Token中是否存在Signature签名又将JWT分为两类: 不使用Signature签名的JWT称为nonsecure JWT未经过签名,不安全的JWT,其header部分也没有指定签名算法, 使用了Signature签名的通过签名保证jwt不能被他人随意篡改,我们又称为JWS。
golang学习笔记(22)-jwt-go
logiee的博客
09-04 455
jwt-go的基本创捷与解析
Golang 一日一库之jwt-go
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
04-11 1457
本文地址 https://www.cnblogs.com/zichliang/p/17303759.html github地址:https://github.com/dgrijalva/jwt-go 何为 jwt token? 什么是JSON Web Token? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JS...
Golang 实现JWT认证
热门推荐
neweastsun的专栏
05-04 1万+
Golang 实现JWT认证 认证是让应用知道给应用发送请求的人是他所说的那个人。JSON web token (JWT)是认证的一种方式,相比于基于Session认证,在系统中并不存储任何关于用户信息。 本文演示使用Golang实现基于JWT认证的示例应用。 1. JWT 1.1. JWT格式 假设用户user1尝试登录应用,成功后收到token信息如下: eyJhbGciOiJIUzI1NiI...
golang-jwt使用
a1023934860的博客
06-07 3894
1.在使用之前我们应该对它进行安装与导入 2.既然导入成功那就开始使用吧 3.逐步讲解首先我们先查看第一步 newWithClaims会返回一个Token结构体,而这个token结构体有以下属性 我们可以通过该结构体获取到加密后的字符串信息。接下来我们需要讲解一下Claims该结构体存储了token字符串的超时时间等信息以及在解析时的Token校验工作。 就是一个map集合,但是它实现了上面Valid()方法,该方法里面实现了对token过期日期校验、发布时间、生效时间的校验工作。 所以在map里面有三个固
golang-jwt
09-16
golang-jwt是一个在Go中实现JWT的流行包。它提供了生成和验证JWT的功能,并且因其特性和易用性而受到欢迎。要使用golang-jwt包,您需要在安装后创建一个Go文件并导入所需的包和模块。您可以使用`import`语句导入以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值