go-jwt学习总结

已于 2024-02-02 15:42:38 修改
阅读量7.4k 收藏 26
点赞数 9
分类专栏: golang笔记 文章标签: golang 开发语言 后端
于 2022-01-22 14:22:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26105397/article/details/122634806
版权

一.概念

jwt,全名(json web token),是一种跨域的认证的解决方案,属于一个开放的标准。使用其规定了一种token的实现方式。

二.为什么使用

传统的的web项目,使用的都是session来认证用户的信息,具体的流程如下:

1.用户通过浏览器将账号跟密码传输给后台服务。

2.服务端对用户跟密码校验后会生成一份保存当前用户信息的session和一个对应的session_id。

3.如果返回响应的时候会将生成的session_id一并返回,浏览器会将该值写入cookie中。

4.如果用户再次通过该浏览器访问服务时,都会携带含有session_id的cookie信息至服务端。

5.服务端接收到请求后,利用cookie中session_id查找对应的账号相关的session信息,从而再次验证当前请求。

6.对于非浏览器的客户端、手机移动端等不适用,因为session依赖于cookie,而移动端经常没有cookie因为session认证本质基于cookie,所以如果cookie被截获,用户很容易收到跨站请求伪造攻击。并且如果浏览器禁用了cookie,这种方式也会失效,前后端分离系统中更加不适用,后端部署复杂,前端发送的请求往往经过多个中间件到达后端,cookie中关于session的信息会转发多次。cookie无法跨域,不适用于单点登录。
 

7.过程图;

存在的缺陷:

1.极度依赖浏览器保存cookie机制。并且再服务端,需要为每一个账号都创建一个session来保存相关信息。(存储消耗较大,如果用户量大,分布式存储也会持续的增大并且维护力度增加)。

2.用户登录方式多样化(不可能总是同一个浏览器,限制了自由度),例如用户使用第三方或者app来访问。如果再次使用cookie模式,就会很是有1中的问题,并且也不灵活。

三,jwt的使用

1.过程图:

2.结构:

  jwt-token由三部分组成,header + payload + signature组成。公式如下:

JWTString=Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret) 

header部分:

是一个json对象:

{

  "typ": "JWT",

   "alg": 加密方法,例如(HS256)

}

payload:

有效载荷部分,jwt主题部分,

iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT

除此之外,可以可以根据需要自定义相关的信息(不要填充保密信息,因为该部分在加密时,仅仅用base64直接加密,可以直接反编码出来),如下:

{
 "user_id": 0
 "username":"",
}

 例如,一段使用go填充的结构:

cla := MyClaims{
		username,
		jwt.StandardClaims{
			ExpiresAt: time.Now().Add(TokenExpireDuration).Unix(), // 过期时间
			Issuer:    "lx-jwt",                                   // 签发人
		},
	}

type StandardClaims struct {
	Audience  string `json:"aud,omitempty"`
	ExpiresAt int64  `json:"exp,omitempty"`
	Id        string `json:"jti,omitempty"`
	IssuedAt  int64  `json:"iat,omitempty"`
	Issuer    string `json:"iss,omitempty"`
	NotBefore int64  `json:"nbf,omitempty"`
	Subject   string `json:"sub,omitempty"`
}

Signature:

签名是对上面两部分的数据进行签名,过程是使用base64编码后的数据,通过制定的算哈生成哈希(不可逆),这样用于确保数据不会被篡改。另外,还需要一个密钥secret,该secret仅仅保存在服务端,并且不可公开。公式如下:

HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

注:secret不能对外泄漏,保存于服务端。

最终生成的token:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJVc2VyTmFtZSI6Imx4IiwiZXhwIjoxNjQyODI3ODgxLCJpc3MiOiJseC1qd3QifQ.gWuzFlSSBNC8bzR-txHkHpTtOUd9ELNFczdAiwXicVY

用户每次登陆后,通过从服务端获取对应的token,从而通过认证,在具体请求中携带服务端授予的token,服务端,通过对token的解析验证,确保本次起请求的正确。

3.使用go的go-jwt实现的一个模拟获取token以及请求认证过程:

jwt_use.go

package jwt_use

import (
	"errors"
	"fmt"
	"time"

	"github.com/dgrijalva/jwt-go"
)

const TokenExpireDuration = time.Hour * 2
// const TokenExpireDuration = time.Second * 60

var Secret = []byte("人生路漫漫")

type MyClaims struct {
	UserName string
	jwt.StandardClaims
}

// get token
func GetToken(username string) (string, error) {
	cla := MyClaims{
		username,
		jwt.StandardClaims{
			ExpiresAt: time.Now().Add(TokenExpireDuration).Unix(), // 过期时间
			Issuer:    "lx-jwt",                                   // 签发人
		},
	}
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, cla)
	fmt.Println("Token = ",token)
	return token.SignedString(Secret) // 进行签名生成对应的token
}

// parse token
func ParseToken(tokenString string) (*MyClaims, error) {
	token, err := jwt.ParseWithClaims(tokenString, &MyClaims{}, func(token *jwt.Token) (interface{}, error) {
		return Secret, nil
	})
	if err != nil {
		return nil, err
	}
	if claims,ok := token.Claims.(*MyClaims);ok && token.Valid {
		return claims,nil
	}
	return nil,errors.New("invalid token")
}

user.go

package model

type UserInfo struct {
	UserName string `json:"user_name" form:"user_name"`
	PassWord string `json:"pass_word" form:"pass_word"`
}

main.go

package main

import (
	"encoding/base64"
	"fmt"
	"net/http"
	"strconv"
	"strings"

	"git.code.oa.com/my-jwt/jwt_use"
	"git.code.oa.com/my-jwt/model"
	"github.com/gin-gonic/gin"
	"github.com/unrolled/secure"
)

// 通过鉴权账户,并生成对应的token进行返回
func authHandler(c *gin.Context) {

	// tokenString, _ := jwt_use.GetToken("lx")
	// c.JSON(200, gin.H{"code": 0, "msg": "success", "data": gin.H{"token": tokenString}})
	// return

	user := &model.UserInfo{}
	err := c.ShouldBindJSON(user)
	if err != nil {
		c.JSON(200, gin.H{"code": 2001, "msg": "invalid params"})
		return
	}

	// 检查人员是否存在,并为其生成一个token,单点登陆友好选择jwt
	if user.UserName == "lx" && user.PassWord == "123qweasd" {
		tokenString, _ := jwt_use.GetToken(user.UserName)
		c.JSON(200, gin.H{"code": 0, "msg": "success", "data": gin.H{"token": tokenString}})
		return
	}
	c.JSON(200, gin.H{"code": 2002, "msg": "鉴权失败"})
	return
}

// 中间件,认证token合法性
func jwtAuthMiddleware() gin.HandlerFunc {
	return func(c *gin.Context) {
		authHandler := c.Request.Header.Get("authorization")
		if authHandler == "" {
			c.JSON(200, gin.H{"code": 2003, "msg": "请求头部auth为空"})
			c.Abort()
			return
		}

		// 前两部门可以直接解析出来
		jwt := strings.Split(authHandler, ".")
		cnt := 0
		for _, val := range jwt {
			cnt++
			if cnt == 3 {
				break
			}
			msg, _ := base64.StdEncoding.DecodeString(val)
			fmt.Println("val ->", string(msg))
		}

		// 我们使用之前定义好的解析JWT的函数来解析它,并且在内部解析时判断了token是否过期
		mc, err := jwt_use.ParseToken(authHandler)
		if err != nil {
			fmt.Println("err = ", err.Error())
			c.JSON(http.StatusOK, gin.H{
				"code": 2005,
				"msg":  "无效的Token",
			})
			c.Abort()
			return
		}

		// 将当前请求的username信息保存到请求的上下文c上
		c.Set("username", mc.UserName)
		c.Next() // 后续的处理函数可以用过c.Get("username")来获取当前请求的用户信息
	}
}

// 
func homeHandler(c *gin.Context) {
	username := c.MustGet("username").(string)
	c.JSON(http.StatusOK, gin.H{
		"code": 2000,
		"msg":  "success",
		"data": gin.H{"username": username},
	})
}

// ssh加密验证
func TSSHandler(port int) gin.HandlerFunc {
	return func(c *gin.Context) {

		fmt.Println("start ->")
		secureMiddleware := secure.New(secure.Options{
			SSLRedirect: true,
			SSLHost:     ":" + strconv.Itoa(port),
		})
		err := secureMiddleware.Process(c.Writer, c.Request)
		if err != nil {
			fmt.Println("err = ", err.Error())
			return
		}
		fmt.Println("+ err = ", err)
		c.Next()
		fmt.Println("success")
	}
}
func main() {
	r := gin.Default()
	// r.Use(TSSHandler(8080))
	r.POST("/auth", authHandler)
	r.GET("/home", jwtAuthMiddleware(), homeHandler)
	fmt.Println("ser is running")
	r.Run(":18243") // http
	// r.RunTLS(":8080","cert.pem", "key.pem") // https
}

Steps-of-time
关注
  • 9
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Go实现jwt
滢光点点
04-20 6282
版权声明:本文为博主原创文章,博客地址: https://blog.csdn.net/zxy_666/article/details/80021331,未经博主允许不得转载。 基础知识前瞻 前言: 因为http协议是一种无状态协议,这就涉及用户访问系统的状态保持问题。 在登录系统的设计中,当用户访问系统时,服务器需要认证用户登录相关的信息,以决定用户能否登录到系...
go使用JWT
22333
05-01 773
JWT 包: “github.com/dgrijalva/jwt-go” 声明结构体: type MyStandardClaims struct { Username string `json:"username"` jwt.StandardClaims } 添加属性:jwt.StandardClaims 设置密钥: myKey := []byte(“qwertyuiop”) 创建结构体: ms := MyStandardClaims{ Username: "hzyy", S
Go之JWT详解
思维小刀
01-20 1046
JWT详解 | 包包的Tech Pool
Go JWT 全面指南
cmy_top的博客
03-07 1778
本文首先对 JWT 进行了概述,随后深入讲解了在 Go 语言下使用 JWT 的全过程。内容包括安装 Go 的 JWT 模块、创建 JWT 对象、生成 JWT 字符串以及解析 JWT 字符串的详细指南。
JWT介绍&go实现JWT
最新发布
weixin_63860405的博客
07-19 925
JSON Web Token(JWT) 是一种开放标准 (RFC 7519),它定义了一种紧凑且独立的方式,用于将信息作为 JSON 对象在各方之间安全地传输。此信息可以验证和信任,因为它是数字签名的。可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对 JWT 进行签名。
JWT学习
weixin_30825581的博客
04-14 96
什么是JWT? jwt的全称是JSON Web Token;JSON Web Token是一个开源标准(rfc7519),是一个轻量,携带着用户信息的json Object对象,安全的进行服务器端与客户端交互;这个对象可以校验、信任,因为它由数字组成; 轻量:因为轻量,所以可以更好地放在httpheader里面,在服务器与客户端之间快速交互 携带用户信息:将用户的重要信...
Go语言使用JWT
weixin_46272577的博客
06-07 1015
Go语言使用JWT
go 进阶 三方库之 jwt-go
qq_29799655的博客
05-11 1239
根据JWT Token中是否存在Signature签名又将JWT分为两类: 不使用Signature签名的JWT称为nonsecure JWT未经过签名,不安全的JWT,其header部分也没有指定签名算法, 使用了Signature签名的通过签名保证jwt不能被他人随意篡改,我们又称为JWS。
golang-api:通过使用JWT通过用户身份验证创建API来学习Go
02-18
在本文中,我们将深入探讨如何使用Go语言Golang)构建一个基于JSON Web Tokens (JWT) 的用户身份验证API。JWT是一种广泛采用的身份验证机制,它允许我们在客户端和服务器之间安全地传递信息,而无需在每次请求时都...
grpc-go-tutorial:学习grpc
04-22
在本教程中,我们将深入探讨使用Go语言实现gRPC服务。 一、gRPC基础 1. Protocol Buffers(protobuf):protobuf是Google开发的一种数据序列化协议,它可以将结构化的数据序列化,可用于数据存储、通信协议等方面...
go-json-rest框架实现Golang Restful API项目的开发
05-08
总结来说,`go-json-rest`为Golang开发者提供了一套便捷的工具,用于快速构建RESTful APIs。通过简单的API设计和路由配置,我们可以高效地处理HTTP请求并返回响应。结合Golang的强大性能和简洁语法,`go-json-rest`...
jwt:Go的快速,简单的JWT实现
05-07
智威汤逊 用编写的快速简单的实现。 该软件包在设计时考虑了安全性,性能和简便性,它保护令牌免受。 请为这个开源项目加注以吸引更多的开发人员,以便我们共同改善它! 安装 唯一的要求是。 $ go get github.com/kataras/jwt 导入为import "github.com/kataras/jwt"并将其用作jwt.XXX 。 目录 验证令牌 解码自定义声明 JSON必需标签标准索偿验证器 阻止令牌 令牌对 JSON Web算法 选择正确的算法 使用您自己的算法 产生金钥 加载和解析键 加密 基准测试 例子 基本的 自定义标题 HTTP中间件 黑名单 JSON必需标签 自定义验证 进阶:Iris中间件 高级:Redis阻止列表 参考 执照 入门 使用Sign方法签名并生成令牌,以紧凑形式返回令牌。 (可选)设置到期时间,如果有效负载中缺少"exp" ,请使用jwt
Go-jwthelper是一个Golang包提供了JWT(JSONWebToken)功能基于jwt-go.
08-14
jwthelper是一个Golang包提供了JWT(JSON Web Token)功能基于jwt-go.
Go-基于Go语言的开源博客API项目
08-14
总结起来,通过学习这个Go语言的开源博客API项目,我们可以掌握以下关键知识点: 1. Go语言基础:包括语法特性、并发编程、错误处理等。 2. Beego框架的使用:路由配置、控制器编写、中间件应用等。 3. 用户认证与...
Go-SuperGloo一个大规模管理和编排服务网格的开源项目
08-13
Go-SuperGloo,作为一款基于Go语言开发的开源项目,是服务网格管理与编排领域的重要工具。它旨在解决大规模服务网格环境下的复杂性和操作难题,通过提供一个高级抽象层来简化服务网格的部署、配置和监控过程。在本文...
Go语言使用jwt
weixin_44867420的博客
11-23 646
golang ,jwt ,token
推荐:jwt-go——一个轻量级的JWT
gitblog_00085的博客
03-16 262
推荐:jwt-go——一个轻量级的JWTjwt-goARCHIVE - Golang implementation of JSON Web Tokens (JWT). This project is now maintained at:项目地址:https://gitcode.com/gh_mirrors/jw/jwt-go 如果你正在寻找一个简单易用、功能强大的JWT(JSON Web T...
在 Go 项目中使用 JWT
3476511424@qq.com的博客
03-18 3047
JWT (JSON Web Tokens) 是一种基于 JSON 格式的轻量级身份验证和授权方案。
gin框架使用jwt做认证
贵有恒,何必三更眠五更起;最无益,只怕一日曝十日寒
11-08 373
package main import ( "errors" "net/http" "strings" "time" jwt "github.com/develop1024/jwt-go" "github.com/gin-gonic/gin" ) // MyClaims 自定义声明结构体并内嵌jwt.StandardClaims // jwt包自带的jwt.StandardClaims只包含了官方字段 // 我们这里需要额外记录一个username字段,所以要自定义结构体 // 如果想要.
golang-jwt
09-16
golang-jwt是一个在Go中实现JWT的流行包。它提供了生成和验证JWT的功能,并且因其特性和易用性而受到欢迎。要使用golang-jwt包,您需要在安装后创建一个Go文件并导入所需的包和模块。您可以使用`import`语句导入以下包: ``` import ( "log" "encoding/json" "github.com/golang-jwt/jwt" "net/http" "time" ) ``` 安装golang-jwt包的先决条件是设置好Go工作区并初始化Go模块文件。在终端上的工作区目录中运行以下命令以安装包: ``` go get github.com/golang-jwt/jwt ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值