如何在Golang中实现JWT认证与授权

已于 2025-01-01 13:19:16 修改
阅读量1k 收藏 19
点赞数 10
文章标签: golang 开发语言 后端
于 2025-01-01 13:18:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18665023/article/details/144866345
版权

好的,下面是另一篇CSDN帖子示例,主题为“如何在Golang中实现JWT认证与授权”。

如何在Golang中实现JWT认证与授权

在现代Web应用中,安全性是一个非常重要的课题。JWT(JSON Web Token)作为一种常用的认证与授权机制,已被广泛应用于各种系统中。它的优势在于轻量级、跨平台,并且非常适合分布式系统。在本文中,我们将通过Golang实现JWT认证与授权,帮助你构建更安全的API。

什么是JWT?

JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用环境间以一个简短的字符串安全地传输信息。JWT通常用于用户认证和授权,它由三个部分组成:

  1. 头部(Header):通常包含两部分信息,类型(JWT)和签名算法(如HMAC SHA256或RSA)。
  2. 有效载荷(Payload):包含我们要传递的数据,通常是用户的身份信息或权限等。
  3. 签名(Signature):确保消息的完整性和防止篡改。它是通过头部和有效载荷用私钥签名生成的。

JWT的结构如下:

header.payload.signature

为什么选择JWT?

  • 无状态性:JWT是自包含的,因此不需要存储会话信息,适合分布式系统。
  • 跨平台:JWT的结构标准化,几乎所有语言都可以生成和解析JWT。
  • 灵活性:可以将任意信息存储在JWT中,如用户ID、权限、过期时间等。

在Golang中实现JWT认证与授权

1. 安装所需的库

我们将使用github.com/dgrijalva/jwt-go库来生成和验证JWT。首先,使用go get安装该库:

go get github.com/dgrijalva/jwt-go

2. 创建JWT生成与解析功能

我们将创建一个简单的JWT生成和验证模块,允许用户通过用户名和密码登录,并获取一个JWT进行后续请求。

生成JWT

auth.go文件中,编写JWT生成函数:

package main

import (
    "github.com/dgrijalva/jwt-go"
    "time"
    "log"
)

// 密钥用于签名和验证JWT
var jwtKey = []byte("secret")

// 用户信息结构体
type Claims struct {
    Username string `json:"username"`
    jwt.StandardClaims
}

// 生成JWT
func GenerateJWT(username string) (string, error) {
    expirationTime := time.Now().Add(1 * time.Hour) // 设置JWT过期时间为1小时
    claims := &Claims{
        Username: username,
        StandardClaims: jwt.StandardClaims{
            ExpiresAt: expirationTime.Unix(),
        },
    }

    // 创建一个新的JWT对象,使用HMAC SHA256算法签名
    token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)

    // 使用密钥签名并返回生成的JWT字符串
    return token.SignedString(jwtKey)
}
解析JWT

然后,编写JWT解析函数,验证其有效性并提取用户信息:

// 解析JWT并返回用户名
func ParseJWT(tokenStr string) (string, error) {
    claims := &Claims{}
    token, err := jwt.ParseWithClaims(tokenStr, claims, func(token *jwt.Token) (interface{}, error) {
        // 返回签名时使用的密钥
        return jwtKey, nil
    })

    if err != nil {
        return "", err
    }

    if !token.Valid {
        return "", err
    }

    return claims.Username, nil
}

3. 实现登录接口

接下来,我们实现一个登录接口,用户可以通过提供用户名和密码来获取JWT。

package main

import (
    "github.com/gin-gonic/gin"
    "net/http"
)

// 假设的用户数据,实际应用中应使用数据库
var users = map[string]string{
    "user1": "password1",
    "user2": "password2",
}

func main() {
    r := gin.Default()

    // 登录接口
    r.POST("/login", func(c *gin.Context) {
        var loginData map[string]string
        if err := c.ShouldBindJSON(&loginData); err != nil {
            c.JSON(http.StatusBadRequest, gin.H{"error": "Invalid input"})
            return
        }

        username, password := loginData["username"], loginData["password"]

        // 验证用户名和密码
        if correctPassword, exists := users[username]; exists && correctPassword == password {
            // 生成JWT
            token, err := GenerateJWT(username)
            if err != nil {
                c.JSON(http.StatusInternalServerError, gin.H{"error": "Could not generate token"})
                return
            }

            c.JSON(http.StatusOK, gin.H{"token": token})
        } else {
            c.JSON(http.StatusUnauthorized, gin.H{"error": "Invalid username or password"})
        }
    })

    r.Run(":8080")
}

4. 实现受保护的路由

为了保护需要授权的路由,我们需要编写中间件来验证JWT。只有通过验证的请求才能访问这些路由。

// JWT验证中间件
func JWTMiddleware() gin.HandlerFunc {
    return func(c *gin.Context) {
        // 获取Authorization头部
        tokenStr := c.GetHeader("Authorization")
        if tokenStr == "" {
            c.JSON(http.StatusUnauthorized, gin.H{"error": "Missing token"})
            c.Abort()
            return
        }

        // 解析JWT并获取用户名
        username, err := ParseJWT(tokenStr)
        if err != nil {
            c.JSON(http.StatusUnauthorized, gin.H{"error": "Invalid token"})
            c.Abort()
            return
        }

        // 将用户名添加到上下文中,以便后续使用
        c.Set("username", username)
        c.Next()
    }
}

func main() {
    r := gin.Default()

    // 登录接口
    r.POST("/login", func(c *gin.Context) {
        var loginData map[string]string
        if err := c.ShouldBindJSON(&loginData); err != nil {
            c.JSON(http.StatusBadRequest, gin.H{"error": "Invalid input"})
            return
        }

        username, password := loginData["username"], loginData["password"]

        if correctPassword, exists := users[username]; exists && correctPassword == password {
            token, err := GenerateJWT(username)
            if err != nil {
                c.JSON(http.StatusInternalServerError, gin.H{"error": "Could not generate token"})
                return
            }

            c.JSON(http.StatusOK, gin.H{"token": token})
        } else {
            c.JSON(http.StatusUnauthorized, gin.H{"error": "Invalid username or password"})
        }
    })

    // 受保护的路由,必须通过JWT验证
    authorized := r.Group("/protected")
    authorized.Use(JWTMiddleware())
    authorized.GET("/hello", func(c *gin.Context) {
        username := c.MustGet("username").(string)
        c.JSON(http.StatusOK, gin.H{
            "message": "Hello, " + username,
        })
    })

    r.Run(":8080")
}

5. 测试JWT认证

##16bWaaVUGAdS8d39CilS9PXEtEptU809NqHfKBuiVYk=##

  1. 首先,通过/login接口获取JWT:

curl -X POST http://localhost:8080/login -H "Content-Type: application/json" -d '{"username":"user1", "password":"password1"}'

  1. 返回结果:

    { "token": "your-jwt-token" }

  2. 然后,使用返回的JWT访问受保护的路由:

    curl -X GET http://localhost:8080/protected/hello -H "Authorization: your-jwt-token"

    返回结果:

    { "message": "Hello, user1" }

结语

通过本文的讲解,你应该已经掌握了如何在Golang中使用JWT进行认证与授权。JWT凭借其无状态性和跨平台的特点,成为了分布式系统中实现认证与授权的理想选择。你可以将这个基本的认证系统进一步扩展,如支持权限控制、刷新令牌等功能。

希望本文对你有所帮助,欢迎在评论区讨论!如果有任何问题,也可以随时提问。

qq_18665023
关注
Golang】Gin框架中如何使用JWT实现登录认证
景天科技苑
11-01 5万+
JWT: JSON Web Token,是一种用于身份验证和授权的开放标准,JWT可以在网络应用间安全的传输。JWT由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature) JWT具有可扩展性、简单、轻量级、跨语言等优点,是前后端分离框架中最常用的验证方式。
[golang] 实现 jwt 方式登录
咸鱼老罗的博客
02-13 1088
JSON Web Token(缩写 JWT)是目前流行的跨域认证解决方案,原理是生存的凭证包含标题 header,有效负载 payload 和签名组成。用户信息payload中,后端接收时只验证凭证是否有效,有效就使用凭证中的用户信息。签名是通过标题 header,有效负载 payload 和密钥(后端保存,不可泄露)生成。JWT 介绍:https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html。
golang工程组件之轻量级认证机制jwt
SMILY12138的博客
04-12 427
JWT(JSON Web Token)是一种轻量级的认证机制,它可以传输在网络上的用户身份和声明信息,以及一些其他的元数据。这个库是比较流行的一个库,维护的也比较活跃。这个库是比较新的一个库,它可以用来对Token进行签名和验证。(1)Token过期问题:由于Token是有有效期的,所以必须要定期更新Token。(2)Token泄露问题:如果Token被泄露,攻击者可以利用该Token来访问受保护的资源。(3)可扩展性:JWT的Payload部分可以包含任何JSON格式的数据,因此它非常灵活。
Golang学习之旅】使用 JWT 进行身份认证(Token 机制)
程序员林北北的博客
02-10 1449
是一种基于 JSON 格式的无状态认证机制,广泛应用于 RESTful API 的身份认证。它的基本思想是:服务器在用户登录成功后,生成一个Token(令牌),然后客户端在后续的请求中携带该 Token,服务器通过解析 Token 进行身份验证。无状态:服务器不需要存储 Token 状态,所有信息都包含在 Token 内部。跨平台:基于 JSON 格式,可以在任何支持 HTTP 的环境中使用。自包含:Token 本身包含了身份验证相关的信息,减少了数据库查询。
JWT机制详解(结合Go)
最新发布
m0_46515715的博客
02-24 901
JSON Web Token(JWT)是一种开放标准(RFC 7519),用于在各方之间安全传输JSON格式的信息。它通过数字签名(HMAC或RSA)确保信息的完整性和可信性,是分布式系统中实现无状态身份认证的核心技术。
JWT的介绍应用
CONSOLE11的博客
12-30 3837
目录 2.JWT的应用场景 3.JWT的应用详解 4.为什么要用JWT 2.1 传统Session认证的弊端 2.2 JWT认证的优势 5.JWT结构 1.Header 2.Payload 3.Signature 6.JWT的种类 JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT
Golang JWT
qq_37112905的博客
08-29 353
Golang JWT http的无状态催生了cookie 和seesion Cookie cookie是保存在客户端中的客户端相关的用户信息:用户名密码等可以用于服务端的二次验证,初始访问时的客户端请求不携带cookie,服务端会为其添加对应的cookie字段二次访问时cookie和客户端请求一起发送到服务端 Cookie分为会话Cookie和持久Cookie: 会话Cookie不保存到硬盘...
golang入门笔记——jwt
qq_43716830的博客
06-11 894
jwt全称(JSON WEB TOKEN),是一种后台不做存储的前端身份验证的工具。分为三部分:Header、Claims、Signature
golang 中使用 JWT 实现登录验证
cfun_goodmorning的博客
01-12 2886
简介 JWT是json web token 具体jwt的组成,加密方式等等自行百度解决,我这里仅写实现案例: 控制器代码 package controller import ( "errors" "fmt" "gindemo/dto" "gindemo/middleware" "gindemo/middleware/jwt" "gindemo/models" "github.com...
使用go实现JWT登录验证
c1487981308的博客
07-02 638
使用Golang实现基于Jwt的登录验证功能
Golang实现JWT库升级安全指南
实现JWT时,开发者需要注意以下最佳实践: - 不要在JWT中存储敏感数据,因为即使进行了签名,用户仍然可以看到JWT的内容。 - 使用HTTPS协议传输JWT,避免中间人攻击。 - 确保密钥的安全性,不要在公共代码库中...
golangJWT实现的示例代码
01-19
什么是JSON Web Token? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON方式安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 直白的讲jwt就是一种用户认证(区别于session、cookie)的解决方案。 出现的背景 众所周知,在jwt出现之前,我们已经有session、cookie来解决用户登录等认证问题,为什么还要jwt呢? 这里我们先了解一下session,cookie。 sessi
JWTgolang 中的使用
weixin_42492572的博客
11-07 257
JWT (JSON Web Tokens) 在golang中的使用
golang中的JWT
猛犸象
10-09 868
JWT是一种协议,和语言无关,只需要按照协议来加密和解析即可,但是golang是强类型的,所以自定义的claims中的各字段要正确定义,否则无法解析。 首先需要设置加密算法(比如 HS256)和 JWT Secret。 当拿到一个JWT Token之后可以先Debug查看其三个部分的定义。 关于JWT的原理可以参考 https://blog.csdn.net/raoxiaoya/article/details/101781339 也就是说,通过JWT Token 就可以知道算法(第一部分)和claims(
JWT-golang
hengchi_hengchi的博客
11-25 742
JWT特点 JWT是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息,一个JWT由三部分组成,Header头部、Claims载荷、Signature签名 JWT使用 JWT头部,加密算法通常直接使用SHA256 { "typ": "JWT","alg": "HS256"} JWT-Claims负载 type StandardClaims struct { // 受众 Audience ClaimStrings `json:"aud,
Golang 实现JWT认证
热门推荐
neweastsun的专栏
05-04 1万+
Golang 实现JWT认证 认证是让应用知道给应用发送请求的人是他所说的那个人。JSON web token (JWT)是认证的一种方式,相比于基于Session认证,在系统中并不存储任何关于用户信息。 本文演示使用Golang实现基于JWT认证的示例应用。 1. JWT 1.1. JWT格式 假设用户user1尝试登录应用,成功后收到token信息如下: eyJhbGciOiJIUzI1NiI...
golang中的jwt
11-06 365
最近项目中需要用到鉴权机制,golangjwt可以用。下面分享两个jwt demo,一个用gin实现,一个用golang中的原生http实现。 https://www.cnblogs.com/jiujuan/p/11403066.html https://blog.csdn.net/cbmljs/article/details/86072395 ...
JWTGolang
Gcaptain
04-05 717
文章目录JWT基础概念JWT使用场景JWT的结构头部载荷签名JWT工作原理Golang使用JWT代码实现服务测试 JWT基础概念 JWT是 json web token的简称 其中的 token 是令牌的意思, 其实这个令牌实质上是服务端生成的一段有规则的字符串 我们看看JWT官方自己对其的定义 JSON Web Token (JWT) is an open standard (RFC 7519...
golang-jwt使用
a1023934860的博客
06-07 4180
1.在使用之前我们应该对它进行安装导入 2.既然导入成功那就开始使用吧 3.逐步讲解首先我们先查看第一步 newWithClaims会返回一个Token结构体,而这个token结构体有以下属性 我们可以通过该结构体获取到加密后的字符串信息。接下来我们需要讲解一下Claims该结构体存储了token字符串的超时时间等信息以及在解析时的Token校验工作。 就是一个map集合,但是它实现了上面Valid()方法,该方法里面实现了对token过期日期校验、发布时间、生效时间的校验工作。 所以在map里面有三个固
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值