Go Zero自定义 JWT 验证失败的响应:优化 API 安全验证反馈

最新推荐文章于 2025-04-16 18:25:39 发布
最新推荐文章于 2025-04-16 18:25:39 发布
阅读量531 收藏 8
点赞数 7
分类专栏: golang 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57836225/article/details/143926376
版权

目录

自定义 JWT 验证失败的响应:优化 API 安全验证反馈

一、创建自定义错误结构体

二、修改 JWT 验证逻辑

三、在 API 接口中处理自定义错误

四、总结

在 API 开发中,JSON Web Tokens(JWT)验证是保障接口安全的重要手段。然而,当 JWT 验证失败时,默认的响应往往不够友好或无法满足特定业务需求。本文将详细讲解如何自定义 JWT 验证失败的响应,包括创建自定义错误结构体、修改验证逻辑以及在 API 接口中处理自定义错误。

一、创建自定义错误结构体

  1. 定义结构体
    • 在项目中创建一个error目录(可根据实际项目结构调整),在该目录下创建jwt_error.go文件。
    • 定义一个JWTError结构体,包含Code(错误码,整数类型)和Message(错误消息,字符串类型)字段。
    • 示例代码如下:

package error

type JWTError struct {
    Code    int
    Message string
}

func (e *JWTError) Error() string {
    return e.Message
}

二、修改 JWT 验证逻辑

  1. 调整验证函数(ValidateJWT)
    • user/info/logic/userinfologic.go或专门用于 JWT 验证的工具文件中,修改ValidateJWT函数。
    • 当 JWT 验证出现错误时,返回JWTError结构体实例,而不是原始的错误信息。
    • 示例代码如下:

func ValidateJWT(tokenString string, secret string) (*jwt.Token, error) {
    token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
        // 验证签名算法
        if _, ok := token.Method.(*jwt.SigningMethodHMAC);!ok {
            return nil, &error.JWTError{Code: 401, Message: "无效的签名算法"}
        }
        // 返回密钥
        return []byte(secret), nil
    })
    if err!= nil {
        return nil, &error.JWTError{Code: 401, Message: "JWT验证失败: " + err.Error()}
    }
    if!token.Valid {
        return nil, &error.JWTError{Code: 401, Message: "无效的JWT令牌"}
    }
    return token, nil
}

三、在 API 接口中处理自定义错误

  1. 获取用户信息接口处理(user/info/logic/userinfologic.go)
    • 在获取用户信息接口的逻辑处理函数中,对ValidateJWT函数的返回错误进行处理。
    • 当接收到JWTError结构体类型的错误时,将其转换为相应的响应格式返回给客户端。
    • 示例代码如下:
func (l *UserInfoLogic) UserInfo(req *types.UserInfoReq) (resp *types.UserInfoResp, err error) {
    tokenString := req.Header.Get("Authorization")
    token, err := ValidateJWT(tokenString, l.svcCtx.Config.Jwt.Secret)
    if err!= nil {
        if jwtErr, ok := err.(*error.JWTError); ok {
            return &types.UserInfoResp{
                Code:    jwtErr.Code,
                Message: jwtErr.Message,
            }, nil
        }
        return nil, err
    }
    // 解析JWT令牌中的用户信息并获取用户数据
    claims, ok := token.Claims.(jwt.MapClaims)
    if!ok {
        return nil, fmt.Errorf("无效的JWT令牌Claims")
    }
    userID, ok := claims["userid"].(float64)
    if!ok {
        return nil, fmt.Errorf("无效的用户ID在JWT令牌中")
    }
    username, ok := claims["username"].(string)
    if!ok {
        return nil, fmt.Errorf("无效的用户名在JWT令牌中")
    }
    // 根据用户信息获取用户数据并返回响应
    //...
    return &types.UserInfoResp{
        Code: 0,
        Message: "成功",
        Data: types.UserInfoData{
            Userid: uint(userID),
            Username: username,
        },
    }, nil
}

四、总结

通过以上步骤,我们实现了自定义 JWT 验证失败的响应。这样,当 JWT 验证出现问题时,API 能够返回更清晰、更符合业务需求的错误信息给客户端。在实际项目中,这种自定义响应有助于前端开发人员更好地理解错误原因并进行相应处理,同时也提升了整个 API 的用户体验和可维护性。此外,还可以进一步扩展JWTError结构体,添加更多错误相关的信息,如错误发生的时间、错误来源等,以便更好地进行错误追踪和分析。

第5周 云短信注册登录全流程落地与JWT实现
与海
05-18 149
对短信注册登录的全流程业务落地,并且结合JWT实现用户令牌的签发,同时可以搭配RedisToken实现有/无状态的灵活切换,并且结合微服务网关来控制接口的访问权限。
gozero设置跨域
weixin_42181179的博客
04-25 3249
解决gozero碰到的跨域问题
go-zero jwt 鉴权快速实战
m0_37322399的博客
09-02 1114
JWT身份认证(附带源码讲解) | GO主题月那么我们如何识别什么时候需要使用jwt呢?用于授权例如某个系统通过例如账号密码登录之后,后台会生成一个 jwt,这个用户在这个系统之后的任何操作,都会去校验这个 jwt,就不需要用户操作系统内其他模块的时候,还去进行一次登录当然,这是需要我们做好设定,这个jwt针对哪一些路由可以使用,从而允许用户访问该令牌允许的路由,服务和资源用于信息交换。
Go-zeroJWT鉴权方式
最新发布
qq_41460537的博客
04-16 506
types定义jwt token的自定义数据结构,这里以用户登录信息的UserClaims做例子,在types中新建userclaims.go文件。中间件方法:在middleware文件夹下建立jwtmiddleware.go用来储存创立和返回jwt中间件。3.中间件签名,接收一个函数handler,获取请求头中的token并解析,然后送入另一个handler。routes中给要使用jwtapi进行包装(这里还没写需要用的api,大概语法如下)servicecontext中注册并初始化jwt中间件。
go-zero】在go-zero中使用jwt
weixin_44102152的博客
05-10 991
如何利用go-zeroGo中快速实现JWT认证
go-zero(六) JWT鉴权
Clown95
11-18 1684
它是一种基于 JSON 的令牌,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。签名是将头部和载荷组合后使用密钥生成的哈希值,用于验证令牌的真实性。
go-zerojwt配置
weixin_48845577的博客
03-01 902
1.JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它由三个部分组成:头部(header)、载荷(payload)和签名(signature)。JWT通常以字符串的形式传输,并且在各个组件之间使用点号进行分隔。
go-zero jwt认证及Nginx路由配置
qq_42808312的博客
02-09 703
go-zero jwt认证及Nginx路由配置
go-zero 连接 gorm 并提供 api 接口
BASK2312的博客
05-27 1185
两个目录,说明已经对不同的功能进行了分组`````````````````````````````````````````如果一个服务有很多的接口,就需要按照功能进行分组,不然会很难管理。中增加数据库的连接方式,这里的。服务,服务之间的通信可以使用。运行命令,只需在命令的最后加上。写一个公共的方法,用来连接数据库。然后就可以表写相关的业务逻辑了。业务逻辑没啥好说的,就是调用。中的相关方法完成业务逻辑了。服务对给外部使用的,一般用。这里记录一下,参数的获取方法。的文件夹,用来管理数据库。
如何利用go-zeroGo中快速实现JWT认证
我心飞翔
10-26 603
关于JWT是什么,大家可以看看官网,一句话介绍下:是可以实现服务器无状态的鉴权认证方案,也是目前最流行的跨域认证解决方案。 要实现JWT认证,我们需要分成如下两个步骤 客户端获取JWT token。 服务器对客户端带来的JWT token认证。 1. 客户端获取JWT Token 我们定义一个协议供客户端调用获取JWT token,我们新建一个目录jwt然后在目录中执行 goctl api -o jwt.api,将生成的jwt.api改成如下: type JwtTokenRequest struct
Go的gRPC认证机制】:实现基于JWT和OAuth的安全认证流程
[【Go的gRPC认证机制】:实现基于JWT和OAuth的安全认证流程](https://habrastorage.org/getpro/habr/upload_files/07f/220/c23/07f220c235fd94e7a2734c9fc01d8b5a.jpg) # 1. gRPC与认证机制概述 在当今的微服务架构...
利用go-zeroGo中快速实现JWT认证的步骤详解
12-16
关于JWT是什么,大家可以看看官网,一句话介绍下:是可以实现服务器无状态的鉴权认证方案,也是目前最流行的跨域认证解决方案。 要实现JWT认证,我们需要分成如下两个步骤 客户端获取JWT token。 服务器对客户端带来的JWT token认证。 1. 客户端获取JWT Token 我们定义一个协议供客户端调用获取JWT token,我们新建一个目录jwt然后在目录中执行 goctl api -o jwt.api,将生成的jwt.api改成如下: type JwtTokenRequest struct { } type JwtTokenResponse struct { Access
go-zerojwt 实战
11-09 1507
好了,本次就到这里 技术是开放的,我们的心态,更应是开放的。拥抱变化,向阳而生,努力向前行
Go: jwt 生成token 报错:key is of invalid type
qq_51110402的博客
06-12 284
原因:接口数据类型不对。
go-zero鉴权(jwt)失败回调函数错误处理
gzyx1988的博客
02-12 918
go-zero jwt回调函数错误处理
go-zero docker-compose 搭建课件服务(六):完善jwt鉴权和返回结构
liuyuede123的博客
08-29 425
go-zero docker-compose 搭建课件服务(六):完善jwt鉴权和返回结构
go-zero 成长之路—微服务电商实战系列(八、jwt鉴权)
LW1314QS的博客
10-24 971
JWT
JWT(JSON Web Token)详解以及在go-zero中配置的方法
夏目艾拉的学习之路
01-29 3200
GoZero框架中配置并启用JWT(JSON Web Token)后,框架会自动处理每个请求中的JWT验证。在api文件的@server指定jwt:Auth即可开启jwt,但是框架只做了服务端逻辑,对于 jwt token 的生成及 refresh token 仍需要开发者自行实现。通过session保存对话信息,服务端返回一个session id,用户保存这个id在cookie内,然后每次请求都传给服务端。jwt的方式是不在服务端保存session数据,数据只保存在客户端,请求时发给服务端。
go-zero如何用jwt存储需要的信息并获取
stracth的博客
06-13 1265
需求:在生成jwt的时候,保存UserID。并在解析jwt数据的时候,获取到UserID。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值