(4)go web开发之 JWT-Token认证机制Access Token与Refresh Token及 jwt-go 库介绍及在项目中使用

最新推荐文章于 2024-05-12 11:39:51 发布
最新推荐文章于 2024-05-12 11:39:51 发布
阅读量3.1k 收藏 8
点赞数
分类专栏: golang go web 文章标签: golang 前端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pythonstrat/article/details/121875782
版权

介绍

  • jwt认证,参考文章:https://www.cnblogs.com/qtiger/p/14868110.html

  • 以前记录python 项目的时候,就已经有过相关的 session,cookie,jwt token的笔记了。 这里再来记录go的使用。
    在这里插入图片描述

  • jwt-go:

  • 查看文档,官方给了好几个例子:
    在这里插入图片描述

    • 可以使用这个方法,NewWithClains(CustomclaimsType)。 一般Go语言的方法命名习惯,都是这种 with … 说明是附加的可以使用相关的参数New。
    • func NewWithClaims(method SigningMethod, claims Claims) Token

      • 需要两个参数:

        • 第一个参数是一个加密的方法
        • 第二个参数是 一个接口: Claims
        • type Claims
          在这里插入图片描述
          • 下面这个方法实现了这个接口:是一个map类型。
          // Claims type that uses the map[string]interface{} for JSON decoding
// This is the default claims type if you don't supply one
type MapClaims map[string]interface{}
          • 还有
            在这里插入图片描述

      • 上面俩一个是 结构体形式,一个是map形式。都可以使用

      • 公有字段:jwt的 payload

      • 点击链接也可以查看:https://tools.ietf.org/html/rfc7519#section-4.1 这个标准下。
        在这里插入图片描述

      // Structured version of Claims Section, as referenced at
// https://tools.ietf.org/html/rfc7519#section-4.1
// See examples for how to use this with your own claim types
type StandardClaims struct {
	Audience  string `json:"aud,omitempty"`
	// 过期时间 
	ExpiresAt int64  `json:"exp,omitempty"`
	Id        string `json:"jti,omitempty"`
	IssuedAt  int64  `json:"iat,omitempty"`
	// 签发人
	Issuer    string `json:"iss,omitempty"`
	// 什么时间开始生效
	NotBefore int64  `json:"nbf,omitempty"`
	Subject   string `json:"sub,omitempty"`
}

  • 点击官方的方法介绍: 使用自定义类型声明令牌的示例。

    // 定义加密 秘钥
mySigningKey := []byte("AllYourBase")

// 自定义结构体数据, 并继承 内置的,标准的一些数据参数
type MyCustomClaims struct {
	Foo string `json:"foo"`
	jwt.StandardClaims // 标准自带参数
}

// Create the Claims
claims := MyCustomClaims{
	"bar",
	// 添加过期时间以及签发人
	jwt.StandardClaims{
		// 过期时间
		ExpiresAt: 15000,
		Issuer:    "test",
	},
}
// 生成令牌token
token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
// 加密
ss, err := token.SignedString(mySigningKey)
fmt.Printf("%v %v", ss, err)

解密

  • 还是开头的Examples里面, 看到下面这里: ParseWithClaims 方法

    func ParseWithClaims(tokenString string, claims Claims, keyFunc Keyfunc) (*Token, error)
    • 其中 Keyfunc
      在这里插入图片描述
    • 中文解释: 解析方法使用此回调函数提供密钥以进行验证。函数接收已解析但未验证的令牌。这允许您使用令牌头中的属性(例如’kid’)来标识要使用的密钥。

  • 然后可以直接看官方的例子了:

    tokenString := "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmb28iOiJiYXIiLCJleHAiOjE1MDAwLCJpc3MiOiJ0ZXN0In0.HE7fK0xOQwFEr4WDgRWj4teRPZ6i3GLwD5YCm6Pwu_c"
type MyCustomClaims struct {
	Foo string `json:"foo"`
	jwt.StandardClaims
}

// sample token is expired.  override time so it parses as valid
token, err := jwt.ParseWithClaims(tokenString, &MyCustomClaims{}, func(token *jwt.Token) (interface{}, error) {
	// 只返回加密的秘钥
	return []byte("AllYourBase"), nil
})

if claims, ok := token.Claims.(*MyCustomClaims); ok && token.Valid {
	fmt.Printf("%v %v", claims.Foo, claims.StandardClaims.ExpiresAt)
} else {
	fmt.Println(err)
}

  • 解析的过程中,如果key过期或者是 相关信息 和加密时候不一样,那么就会报错了,自动解析时,进行验证。

  • 对于使用解析出来的 token, 上面例子用已经有了

    • claims, ok := token.Claims.(*MyCustomClaims)。断言一下,变为自定义的类型,然后就可以读取其中的数值了。

gin项目 中使用

  • 利用中间件,做一个拦截器。接收验证token信息。

  • token 是前端放入 header 请求头中携带过来的。

    • token 有三种存放方式: 第一种是存放在 header 请求头当中,第二种是放到请求体当中,第三种就是放入到 URI 中。

  • 具体可以看开头给出的视频,最后部分讲解的实际项目中应用~。

  • 那么在我自己的小项目中,其实就是示例上的那种简单应用,生成token和解析token

    package jwt

import (
	"errors"
	"time"

	"github.com/golang-jwt/jwt"
)

// 定义 token 生效时间
const TokenExpireOuration = time.Hour * 2

// 定义秘钥
var mySecret = []byte("这是加密的字符串")

// 定义自己的 载体,并继承共有字段, 实现Claims接口
type MyCustomClaims struct {
	UserID   int64  `json:"user_id"`
	Username string `json:"username"`
	jwt.StandardClaims
}

// 封装生成Token的函数
func GenToken(userID int64, username string) (string, error) {
	// Create the Claims
	claims := MyCustomClaims{
		userID,
		username,
		jwt.StandardClaims{
			// 指定过期时间
			ExpiresAt: time.Now().Add(TokenExpireOuration).Unix(),
			// 签发人: 写上项目名
			Issuer: "HdlBluebell",
		},
	}
	// 创建token
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	// 使用指定的secret签名并获得完整的编码后的字符串token
	tokenStr, err := token.SignedString(mySecret)
	return tokenStr, err
}

// 解析token字符串
func ParseToken(tokenString string) (*MyCustomClaims, error) {
	// 调用解析函数
	token, err := jwt.ParseWithClaims(tokenString, &MyCustomClaims{}, func(token *jwt.Token) (interface{}, error) {
		// 只返回加密的秘钥
		return []byte("AllYourBase"), nil
	})
	if err != nil {
		return nil, err
	}
	// 拿到 MyCustomClaims 类型的结构
	// Claims 接口实现了 Valid() 方法, 对数据进行验证
	if claims, ok := token.Claims.(*MyCustomClaims); ok && token.Valid {
		return claims, nil
	} else {
		return nil, errors.New("invalid token")
	}
}

  • 采用 HTTP Bearer认证https://www.cnblogs.com/qtiger/p/14868110.html这篇文章开头给出过。

  • 这种方式在 Postman 当中进行测试的时候,也有对应的:
    在这里插入图片描述

  • 定义 JWT 认证中间件:

    • 其中的controllers.ResponseError(c, controllers.CodeNeedLogin) 是返回请求的 c.JSON() 只是被封装了一下,代码更加的简洁。
    package main

import (
	"bluebell/controllers"
	"bluebell/pkg/jwt"
	"strings"

	"github.com/gin-gonic/gin"
)

// 当认证通过后, 保存到当前的定义的上下文信息当中去
const ContextUserIDKey = "userID"

func JWTAuthMiddleware() func(c *gin.Context) {
	return func(c *gin.Context) {
		// HTTP Bearer: https://www.cnblogs.com/qtiger/p/14868110.html#autoid-3-4-0
		// 在 http 请求头当中添加 Authorization: Bearer (token) 字段完成验证
		// 1. 获取请求头中的 Authorization 认证字段信息
		authStr := c.Request.Header.Get("Authorization")
		// 2.
		if authStr == "" {
			controllers.ResponseError(c, controllers.CodeNeedLogin)
			// 停止后序的 handler 处理函数执行,并终止当前后续操作
			c.Abort()
			return
		}
		// 切分, 格式不对,报错
		p := strings.Split(authStr, " ")
		if len(p) != 2 || p[0] != "Bearer" {
			controllers.ResponseError(c, controllers.CodeInvalidToken)
		}
		// 3. 解析token
		m, err := jwt.ParseToken(p[1])
		if err != nil {
			controllers.ResponseError(c, controllers.CodeInvalidToken)
			c.Abort()
			return
		}
		// 保存当前登录的用户信息,存入context 上下文当中去,并继续向下执行
		c.Set(ContextUserIDKey, m.UserID)
		c.Next()
	}
}

下面采用 Access Token, Refresh Token 双刷,实现 认证。

  • 可以参考这篇文章中的内容: https://blog.csdn.net/a704397849/article/details/90216739

  • Access Token: 访问后端接口的请求 token。为了安全性,有效期通常较短, 因为只要在有效期内获取token, 都可以对后端资源进行请求访问。

  • Refresh Token: 有效期较长。 当 Access Token 过期的时候, 用Refresh Token 就可以获取到新的 Access Token。保证了用户的体验性和安全性。不需要频繁的 token过期而 重新登录。 只有在 Refresh Token 过期的时候,才会去重新进行登录的操作。

  • 生成 refresh token

    // 生成 refresh token, 不需要自定义的信息
	rToken, err = jwt.NewWithClaims(jwt.SigningMethodES256, jwt.StandardClaims{
		ExpiresAt: time.Now().Add(time.Second * 30).Unix(),
		Issuer:    "HdlBluebell",
	}).SignedString(mySecret)

  • 另外就是解析时候判断access token 是否有效。refresh token 刷新 access token。

我是py呀
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springSecurity-jwt:JWT access_tokenrefresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessTokenRefreshToken) version1太复杂,无法优化。 accessToken refreshToken流 安全登录处理流程 详细说明转到博客文章 JWT异常处理 安全异常处理(AuthenticationEntryPoint,AccessDeniedHandler) 仅使用AccessToken时 如果将AccessToken的有效时间设置得较长,则很方便,因为用户不需要频繁登录,但是只要有效时间长,恶意用户就可以窃取AccessToken,从而降低了安全性。 相反,如果将AccessToken的有效时间设置为较短时间,则安全性将提高,但由于用户频繁登录,其便利性将降低。 您可能会认为使JWT无效将不起作用,但是JWT只能在设置的到期时间过去之后才到期。 我不能强迫它在那之前过期。 同时使用
jwtaccesstokenrefresh token详解
qq_37704442的博客
02-24 4371
jwtaccesstokenrefresh token详解
2024年最新从入门到精通:Go 实现基于 Token 的登录流程深度指南_go token,2024年最新给后辈的一点建议
最新发布
2401_84910869的博客
05-12 1019
在现代 Web 应用开发,安全性始终是一个不可忽视的重要议题。随着分布式系统和微服务架构的兴起,传统的基于 Session 的登录机制面临着诸多挑战。本文将带你深入探索基于 Token 的登录流程,这是一种更为灵活且适用于现代应用架构的认证方式。
jwt无状态权限认证(RefreshToken)
zhouping118的博客
04-17 7760
1.背景 在开发pingss-sys脚手架(项目地址)时,需要在微服务分布式环境管理权限。 上一篇写了基本的jwt无状态权限认证,但是存在两个问题 生成的token如果过期时间太短,则每次到期后,都需要用户重新登录 生成的token如果过期时间太长,由于token签发后,在有效期内无法注销,存在安全隐患 本篇使用RefreshToken+redis增加安全性 2.思路 用户登录成功生...
使用Simple JWT提供认证服务(详细介绍access_tokenrefresh_token使用
寅月十八的博客
10-21 415
access_tokenrefresh_token的时效就需要设置不一致,当短的access_token 时效过了之后,发送时效长的 refresh_token 重新获取一个短时效access_token。我们每次请求需要携带access_token,但是我们不能每次请求前通过接口获取access_token,我们可以将首次获取的access_token存储,定期通过refresh_token刷新。但是Token有效期不是永久的,当过期之后用户便无法通过认证,我们需要获取新的Token
JWT Token、ID TokenAccess TokenRefresh Token
乌龟的专栏
02-22 7120
JWT Token、ID TokenAccess TokenRefresh Token
react-jwt-refresh-token:使用 Axios 拦截器构建 React JWT 刷新令牌示例 - React.js 的刷新令牌,Axios 静默刷新 JWT 令牌示例
08-04
使用 JWT 和 Axios 拦截器示例React刷新令牌 欲知更多详情,请访问: 全栈(JWT 身份验证和授权示例): 这个项目是用引导的。 设置端口 .env PORT=8081 笔记: 打开src/services/api.js并修改config.headers以...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
sping-boot-shiro-jwt-redis-refreshtoken.zip
08-25
sping-boot-shiro-jwt-redis-refreshtoken,springboot整和shiro、jwt,自动刷新token
koa+jwt实现token验证与刷新功能
01-01
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 本文只讲Koa2 + jwt使用,不了解...
AccessTokenJwtToken使用经验
xzlAwin的博客
04-01 1457
AccessTokenJwtToken使用经验 AccessToken 优点:刷新令牌后,上一个令牌失效 缺点:不支持加密传输数据 JwtToken 优点:支持加密传输数据 缺点:刷新令牌后,之前的令牌不会失效 建议: 1.如果你想废弃之前的令牌,建议使用AccessToken 2.如果你想传输普通数据,不建议传输敏感数据,推荐使用JwtToken 3.如果你即想传输数据,又想手动控制令牌失效,建议使用redis存储令牌白名单,手动控制失效,这样做可能违背token无状态设计原理来换取token绝对
Go-jwthelper是一个Golang包提供了JWT(JSONWebToken)功能基于jwt-go.
08-14
jwthelper是一个Golang包提供了JWT(JSON Web Token)功能基于jwt-go.
前后端利用accessTokenrefreshToken无感刷新
没有翅膀的我们,只是随便认为不能飞而已
06-15 5160
项目初衷 以jwt(由header,payload和signature组成)为例,用户登录成功,后端返回accessToken前端保存,请求接口携带,一切都是水到渠成的 可是在acessToken失效时,你正好请求一次接口,接口就挂了,可能你就跳到登录页了,用户体验也不好。我们希望虽然过期了,但是页面偷偷地刷新,不影响当前接口运行。如果你的方案是把accessToken的有效期设置地久一点,比如100年。你真的是个机智Boy,那设置jwt的意义何在。 方案 accessTokenrefreshToken
golangjwt
后台开发
11-06 291
最近项目需要用到鉴权机制golangjwt可以用。下面分享两个jwt demo,一个用gin实现,一个用golang的原生http实现。 https://www.cnblogs.com/jiujuan/p/11403066.html https://blog.csdn.net/cbmljs/article/details/86072395 ...
accessToken refreshToken简单使用源码demo,双token刷新及有效时间设置
热门推荐
a704397849的博客
10-23 1万+
最后会附上源码 这篇介绍了一个项目使用的双token登录认证刷新的demo,如需移植到生产项目,需要根据实际情况做修改。 有个地方需要注意: 我这里刷新产生新的refreshToken时 旧的refreshToken并没有失效,如果不是特别敏感这点的话可以不计较,若是在意的话,那需要自己处理:比如用缓存记录失效的token每次token认证判断是否是失效的token ,如果是的话就返回验证失败...
accesstokenrefreshtoken
qq_33600019的博客
06-29 1万+
在工作的时候,有点疑惑accesstokenrefreshtoken这两个是怎么实现的,简单查找了一下百度,得到了如下的解释1,token化的协议过程2,当用户登录的时候,生成access_tokenrefresh_token,并返回给APP。      当access_token失效时,APP使用refresh_token来请求刷新token。      如果refresh_token过期,...
Golangjwt
qq_43490063的博客
12-24 244
需要使用第三方 go get -u github.com/dgrijalva/jwt-go // jwt.SigningMethodRS256 定义我们的jwt为sha256加密,也就是jwt的头部 // jwt.MapClaims{} 这个就是我们jwt的payload,也就是你需要验证的数据 // 这里说下,这个包里已经有了一些写好的 func GenerateToken(user...
Golang JWTToken策略
青烟绕指柔的博客
01-18 1449
为什么使用JWT? 因为在只需要存前端,后端无需存储。 为什么使用Token? 因为Token只能定时失效,所以时间不能太长,为了用户体验以及考虑服务器压力,所以使用Token,用一个refreshToken来做刷新,只要未失效,就可以返回新的双Token。 例子: package main import ( "errors" "fmt" "github.com/dgrijalva/jwt-go" "github.com/gin-gonic/gin" "strings" "time" )
Go 语言使用 GoJWT 实现 JSON Web TokenJWT认证
m0_62153576的博客
10-14 371
JSON Web TokenJWT)是一种轻量级的身份验证协议,广泛用于跨域身份验证。Go 语言提供了许多优秀的来处理 JWT,其之一就是 GoJWT。本博客将详细介绍如何使用 GoJWT 来实现 JWT 认证
怎么解析jwt-go的token
08-20
要解析jwt-go的token,可以按照以下步骤进行操作: 1. 首先,引入`jwt-go`包并导入所需的其他依赖项。可以使用以下代码来实现: ``` import ( "fmt" "github.com/dgrijalva/jwt-go" ) ``` 2. 然后,定义自定义声明结构体,该结构体包含要在token解析的声明信息。例如,可以定义一个名为`MyCustomClaims`的结构体,如下所示: ``` type MyCustomClaims struct { Foo string `json:"foo"` jwt.StandardClaims } ``` `MyCustomClaims`结构体的`Foo`字段表示在token包含的自定义声明。 3. 接下来,使用`jwt.ParseWithClaims`函数解析token并将其与自定义声明结构体进行绑定。可以使用以下代码实现: ``` tokenString := "eyJhbGciOiJIUzI1NiIsInR5cCI6I***XVCJ9.eyJmb28iOiJiY***iLCJleHAiOjE1***AwLCJpc3MiOiJ0ZXN0In0.HE7fK0xOQwFEr4WDgRWj4teRPZ6i3GLwD5YCm6Pwu_c" claims := &MyCustomClaims{} token, err := jwt.ParseWithClaims(tokenString, claims, func(token *jwt.Token) (interface{}, error) { // 返回用于验证token的加密密钥 return []byte("AllYourBase"), nil }) ``` 在`jwt.ParseWithClaims`函数,传入token字符串、自定义声明结构体的指针和一个回调函数。回调函数用于提供用于验证token的加密密钥。 4. 最后,检查解析和验证token的结果。可以使用以下代码来检查是否成功解析和验证了token: ``` if token.Valid { fmt.Printf("%v %v", claims.Foo, claims.ExpiresAt) } else { fmt.Println(err) } ``` 如果token有效,可以通过`claims`变量访问其的声明信息。在上述示例,我们打印了`Foo`字段和`ExpiresAt`声明的值。如果token无效,将打印出解析和验证错误。 综上所述,这就是解析`jwt-go`的token的步骤。请注意,需要根据自己的实际情况修改代码token字符串和自定义声明结构体。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [(4)go web开发JWT-Token认证机制Access TokenRefresh Tokenjwt-go 介绍及在项目使用](https://blog.csdn.net/pythonstrat/article/details/121875782)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值