go 进阶 三方库之 jwt-go

最新推荐文章于 2024-07-02 21:50:19 发布
最新推荐文章于 2024-07-02 21:50:19 发布
阅读量1.1k 收藏 6
点赞数 3
分类专栏: # 十一. Go 常用三方库与常用工具 文章标签: golang http java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29799655/article/details/129500118
版权
JWT是一种JSON格式的安全令牌,用于在各方间安全传输信息。它由Header、Payload和Signature三部分组成,通过Base64编码,并使用签名确保数据完整。JWT不依赖cookie和session,适用于分布式系统和跨域场景。文中还展示了如何在Go语言的Gin框架中实现JWT的登录验证和中间件。
摘要由CSDN通过智能技术生成

目录

一. JWT 基础解释

  1. 先了解几个问题
  1. JSON数据使用base64url编码,只对JSON数据是先扁平化处理再用64个可读无冲突字符来表达,没有加密效果
  2. SHA256的摘要只是为JSON数据生成一个“指纹”,防止被篡改,属于完整性范畴,也无任何加密效果
  3. 摘要不等于签名,签名是用私钥加密摘要,默认情况下Token本身并没有任何加密机制,它依赖于HTTPS的通道保密能力,Token增加加密机制需要自行处理
  1. 在介绍JWT之前,我们可以先说一下实现用户验证发展的几个步骤
  1. 请求接口时使用http协议,http协议本身是一种无状态的协议,用户登录后,下次再次访问接口,无法判断用户身份,
  2. 进而提出了Cookie 与Session, cookie是存储在客户端的,如果被截获,可能会出现跨站请求伪造的攻击,session是存在服务端的,但是现在都基于微服务,需要考虑多服务节点情况下session同步问题
  3. 后续提出了基于token进行用户身份校验
  1. 简单说一下token进行用户身份验证的流程:
  1. 客户端使用用户名和密码请求登录, 服务端收到请求,验证用户名和密码
  2. 验证成功后,服务端会签发一个token,并将token返回给客户端
  3. 客户端收到token后,缓存token,后续向服务端发送请求时在header中携带服务端签发的token
  4. 服务端收到请求,先对客户端请求中携带的token进行验证
  5. 优点: cookie是无法跨域的,而token由于没有用到cookie(前提是将token放到请求头中)所以跨域后不会存在信息丢失问题,token机制在服务端不需要存储session信息,因为token自身包含了所有登录用户的信息,因此也就不需要session同步,更适用CDN:可以通过内容分发网络请求服务端的所有资料,更适用于移动端:因为移动端不支持cookie, 既然不使用cookie也就无需考虑CSRF
  1. 什么是JWT: JWT是JSON Web Token的简称,就是上述流程当中token的一种具体实现方式,通俗地说,JWT的本质就是一个保存了用户信息的Json字符串,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输
  2. JWT用户认证执行流程
  1. 前端将用户信息发送给后端(建议通过SSL加密的传输(HTTPS),从而避免敏感信息被嗅探)
  2. 后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,例如lll.zzz.xxx的字符串
  3. 后端将Token字符串作为登录成功的结果返回给前端,前端在后续请求接口时将Token放入HTTP请求头中的Authorization属性中(解决XSS和XSRF问题),用户退出登录时删除保存的JWT Token
  4. 后端接收到前端请求后先校验Token是否有效,比如检查签名是否正确,是否过期,token的接收方是否是自己等等
  1. 说一下JWT的优点
  1. 简洁:JWT Token数据量小,传输速度也很快
  2. JWT是跨语言的: 因为JWT Token是以JSON加密形式保存在客户端的,所以,原则上任何web形式都支持
  3. 不依赖于cookie和session, 不需要在服务端保存会话信息,特别适用于分布式微服务
  4. 既然不依赖于cookie和session,可以将token缓存到redis等,就不需要考虑session多服务节点的同步问题,及cookie无法跨域的问题,更适用与单点登录, 移动端

二. JWT Token 组成

  1. 前面说过JWT的本质就是一个保存了用户信息的Json字符串,编码后得到的一个JWTtoken,这个JWTtoken带有签名信息,接收后可以校验是否被篡改,那么这个Toke是怎么生成的,组成部分有哪些
  2. JWT由3部分组成:Header标头,Payload有效载荷和Signature签名, 在传输的时候,将这3部分分别进行Base64编码后连接形成最终传输的字符串
JWTString=Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)
  1. JWT Header标头,是用来描述JWT元数据的JSON对象,包含alg属性与typ属性,其中alg表示签名使用的算法,默认为HMAC SHA256(写为HS256), typ属性表示令牌的类型,在JWT令牌统一写为JWT,然后使用Base64URL算法将上述这个JSON对象转换为字符串保存,例如
{
  "alg": "HS256",
  "typ": "JWT"
}
  1. Payload有效载荷,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据,在JWT中默认有一下七个字段供选择, 这七个预定义字段并不要求强制使用,并且除以上默认字段外,我们还可以自定义私有字段,例如将包含用户信息的数据放到payload中

注意点: 默认情况下JWT只是采用base64算法进行了一次编码,并未加密的,拿到JWT字符串后可以转换回原本的JSON数据,因此不要构建隐私信息字段,比如用户的密码不要保存到JWT中,以防止信息泄露,默认情况下JWT只适合在网络中传输一些非敏感信息

//1.Payload有效载荷默认提供的七个预定义字段,不要求强制使用
iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT

//2.除了预定义的七个字段以外,我们也可以自定义Payload有效载荷字段,例如将包含用户信息的数据放到payload中
{
  "sub": "1234567890",
  "name": "Helen",
  "admin": true
}
  1. Signature签名,用来校验数据是否被篡改的,将base64UrlEncode编码后的header和payload两个数据进行拼接后,通过指定的算法与密钥secret进行加密后的一串哈码,并且secret密钥保存在服务器中不对外公开,默认加密算法HMACSHA256(),Signature签名生成公式示例

根据JWT Token中是否存在Signature签名又将JWT分为两类: 不使用Signature签名的JWT称为nonsecure JWT未经过签名,不安全的JWT,其header部分也没有指定签名算法, 使用了Signature签名的通过签名保证jwt不能被他人随意篡改,我们又称为JWS

HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)
  1. 在生成Signature签名时提到了一个secret或secretKey密钥,JWT的密钥或者密钥对,一般统一称为JSON Web Key,也就是JWK,根据对称加密与非对称加密,密钥的使用也有所不同
  1. 对称加密中: secretKey指加密密钥,用来生成签名与验签
  2. 非对称加密中: secretKey指私钥,只用来生成签名,但是不能用来验签(验签用的是公钥)
  3. 对称加密中使用同一个密钥进行加密与解密,因此这时候公钥不能泄漏,因此对称算法只适合服务端内部使用,不适合网络第三方,非对称加密通常服务端有私钥和公钥,使用私钥加密,使用公钥可以解密,相对来说更安全
  1. JWT中签名算法有三种:
  1. HMAC【哈希消息验证码(对称)】:HS256/HS384/HS512
  2. RSASSA【RSA签名算法(非对称)】(RS256/RS384/RS512)
  3. ECDSA【椭圆曲线数据签名算法(非对称)】(ES256/ES384/ES512)
  1. 完整的执行逻辑
  1. 接收到JWT Token数据后,获取header和payload通过base64解码获取到原数据,在header的alg属性中拿到签名的算法,在payload中获取有效数据
  2. signature是对header和payload数据的加密无法解码出原文,用来校验整个token数据是否被篡改
  3. 服务端在header中获取到加密算法后,利用该算法加上secret密钥对header,payload两个数据再次进行加密,拿到加密结果后与客户端发送过来的signature进行比对判断是否一致,
  4. 注意secret密钥只保存在服务端,而且对于不同的加密算法其含义有所不同,对于MD5类型的摘要加密算法来说secret密钥代表的是盐值

三. jwt-go 使用示例

  1. 简单解释
  1. 下方代码中实现了一个gin框架
  2. 内部提供了登入鉴权的接口/auth,与普通的业务接口/home
  3. 前端携带用户信息首先请求/auth接口,接收到请求后,判断该用户是否存在,如果存在会基于jwt,秘钥,生成一个指定时间有效的token响应给调用方
  4. 在进行其它业务时,例如调用/home,该接口绑定了一个jwtAuthMiddleware中间件, 接收到请求后,先执行中间件,通过jwt校验用户token是否合法有效,如果不合法则拒绝,或重定向到登入页
import (
	"encoding/base64"
	"errors"
	"fmt"
	"github.com/dgrijalva/jwt-go"
	"net/http"
	"strings"
	"time"

	"github.com/gin-gonic/gin"
)

const TokenExpireDuration = time.Hour * 2

var Secret = []byte("秘钥吗?")

type UserInfo struct {
	UserName string `json:"user_name" form:"user_name"`
	PassWord string `json:"pass_word" form:"pass_word"`
}

type MyClaims struct {
	UserName string
	jwt.StandardClaims
}

//登录鉴权函数
func authHandler(c *gin.Context) {
	//1.接收请求中的用户信息
	user := &UserInfo{}
	err := c.ShouldBindJSON(user)
	if err != nil {
		c.JSON(200, gin.H{"code": 2001, "msg": "invalid params"})
		return
	}

	//2.模拟校验判断该用户是否存在
	if user.UserName != "aaa" || user.PassWord != "123qwd" {
		c.JSON(200, gin.H{"code": 2002, "msg": "鉴权失败"})
		return
	}

	//3.存在,通过jwt,生成token签名,并响应
	cla := MyClaims{
		user.UserName,
		jwt.StandardClaims{
			ExpiresAt: time.Now().Add(TokenExpireDuration).Unix(), // 过期时间
			Issuer:    "lx-jwt",                                   // 签发人
		},
	}
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, cla)
	//进行签名生成对应的token
	tokenString, _ := token.SignedString(Secret)
	c.JSON(200, gin.H{"code": 0, "msg": "success", "data": gin.H{"token": tokenString}})
	return
}

//中间件,认证token合法性
func jwtAuthMiddleware() gin.HandlerFunc {
	return func(c *gin.Context) {
		authHandler := c.Request.Header.Get("authorization")
		if authHandler == "" {
			c.JSON(200, gin.H{"code": 2003, "msg": "请求头部auth为空"})
			c.Abort()
			return
		}

		// 前两部门可以直接解析出来
		jwt := strings.Split(authHandler, ".")
		cnt := 0
		for _, val := range jwt {
			cnt++
			if cnt == 3 {
				break
			}
			msg, _ := base64.StdEncoding.DecodeString(val)
			fmt.Println("val ->", string(msg))
		}

		//调用下方自己实现的token解析函数,并且在判断token是否过期
		mc, err := ParseToken(authHandler)
		if err != nil {
			fmt.Println("err = ", err.Error())
			c.JSON(http.StatusOK, gin.H{
				"code": 2005,
				"msg":  "无效的Token",
			})
			c.Abort()
			return
		}

		// 将当前请求的username信息保存到请求的上下文c上
		c.Set("username", mc.UserName)
		c.Next() // 后续的处理函数可以用过c.Get("username")来获取当前请求的用户信息
	}
}

// parse token
func ParseToken(tokenString string) (*MyClaims, error) {
	token, err := jwt.ParseWithClaims(tokenString, &MyClaims{}, func(token *jwt.Token) (interface{}, error) {
		return Secret, nil
	})
	if err != nil {
		return nil, err
	}
	if claims, ok := token.Claims.(*MyClaims); ok && token.Valid {
		return claims, nil
	}
	return nil, errors.New("invalid token")
}

func main() {
	r := gin.Default()
	//1.登入鉴权接口,调用authHandler,对用户信息进行校验,校验通过通过jwt生成的token并返回
	r.POST("/auth", authHandler)
	//2.普通接口,该接口注册了一个jwtAuthMiddleware中间件
	//在中间件中会获取用户token,基于jwt校验是否合法,合法放行,否则拒绝
	r.GET("/home", jwtAuthMiddleware(), homeHandler)
	r.Run(":8080")
}

//普通业务接口
func homeHandler(c *gin.Context) {
	username := c.MustGet("username").(string)
	c.JSON(http.StatusOK, gin.H{
		"code": 2000,
		"msg":  "success",
		"data": gin.H{"username": username},
	})
}
苹果香蕉西红柿
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GolangJWT 类的详解
canduecho的专栏
05-26 2113
这段代码是用 Go 语言实现 JWT 认证的基本功能,以下是对代码的解释和一些潜在的改进建议:JWT 类型代表了 jwt-token 认证的配置,包括了加密和刷新 token 的密钥、token 过期时间等。NewJWT 是用于创建 JWT 实例的工厂函数,它接受一个字符串类型的加密密钥和刷新密钥,还有一个 time.Duration 类型的 token 过期时间。函数返回一个新的 JWT 实例指针。我们可以通过这个实例来实现 jwt-token 的生成和验证。
go使用JWT
22333
05-01 760
JWT 包: “github.com/dgrijalva/jwt-go” 声明结构体: type MyStandardClaims struct { Username string `json:"username"` jwt.StandardClaims } 添加属性:jwt.StandardClaims 设置密钥: myKey := []byte(“qwertyuiop”) 创建结构体: ms := MyStandardClaims{ Username: "hzyy", S
详解Go-JWT-RESTful身份认证教程
01-03
1.什么是JWT JWT(JSON Web Token)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息, 一个JWT由三部分组成,Header头部、Claims载荷、Signature签名, JWT原理类似我们加盖公章或手写签名的的过程,合同上写了很多条款,不是随便一张纸随便写啥都可以的,必须要一些证明,比如签名,比如盖章,JWT就是通过附加签名,保证传输过来的信息是真的,而不是伪造的, 它将用户信息加密到token里,服务器不保存任何用户信息,服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证, 2.JWT构成 一个JWT由三部分组成,H
jwt-go(Json web token)之基本概念
weixin_42117918的博客
06-29 1044
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 起源 说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。 传.
使用go实现JWT登录验证
最新发布
c1487981308的博客
07-02 365
使用Golang实现基于Jwt的登录验证功能
go-jwt学习总结
qq_26105397的博客
01-22 7427
一.概念 jwt,全名(json web token),是一种跨域的认证的解决方案,属于一个开放的标准。使用其规定了一种token的实现方式。 二.为什么使用 传统的的web项目,使用的都是session来认证用户的信息,具体的流程如下: 1.用户通过浏览器将账号跟密码传输给后台服务。 2.服务端对用户跟密码校验后会生成一份保存当前用户信息的session和一个对应的session_id。 3.如果返回响应的时候会将生成的session_id一并返回,浏览器会将该值写入cookie中。 4.如
Go JWT 全面指南
cmy_top的博客
03-07 1692
本文首先对 JWT 进行了概述,随后深入讲解了在 Go 语言下使用 JWT 的全过程。内容包括安装 Go 的 JWT 模块、创建 JWT 对象、生成 JWT 字符串以及解析 JWT 字符串的详细指南。
Go实现jwt
滢光点点
04-20 6272
版权声明:本文为博主原创文章,博客地址: https://blog.csdn.net/zxy_666/article/details/80021331,未经博主允许不得转载。 基础知识前瞻 前言: 因为http协议是一种无状态协议,这就涉及用户访问系统的状态保持问题。 在登录系统的设计中,当用户访问系统时,服务器需要认证用户登录相关的信息,以决定用户能否登录到系...
okta-jwt-verifier-golang:okta-jwt-verifier-golang
05-10
版本地位0.x :warning: Beta版本(已淘汰) 1.x :check_mark: 释放安装go get -u github.com/okta/okta-jwt-verifier-golang用法建立该是为了将配置保持在最低限度。 为了使其以最基本的形式运行,您需要提供的是...
一个用于在c++ - Thalhammer/jwt-cpp中创建和验证json web令牌的头
01-27
在C++中,Thalhammer/jwt-cpp是一个头文件,专门用于生成和验证JWT。 在C++编程中,使用`jwt-cpp`可以帮助开发者轻松处理JWT的创建和验证过程。由于这是一个头文件,意味着你只需要将的头文件包含到你的...
go-jwt-auth:带有golangJWT授权
03-17
本篇将深入探讨如何使用Golang(Go语言)实现JWT授权,以提高应用程序的安全性。 JWT是一种基于JSON的开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。这个信息可以被验证和信任,因为它是数字...
c-jwt-cracker:用C编写的JWT蛮力饼干
02-06
c-jwt-cracker:用C编写的JWT蛮力饼干
Gin中使用jwt-go实现JWT鉴权登陆
mjiarong的博客
10-01 1720
JWT全称Json web token ,是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,是目前最流行的跨域身份验证解决方案。JWT基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息,一旦用户完成了登陆,在接下来的每个请求中都会包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限的验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,这也为应用的扩展提供了便利。JWT 以 JSON 对象的形式安全传递信息。
go使用jwt对前端用户身份通过token认证
ic_xcc的博客
09-23 2298
文章目录一、导入工具包jwt-go生成token二、在登录验证接口中使用token生成方法三、解析前端请求头中的token四、中间件来验证客户端传递过来的token五、使用示例 背景前沿:近期项目需要对前端提供的部分接口做身份认证拦截,需要在登录成功后生成一个token返回给前端,后续需要进行验证的接口需要在请求头中携带token才能正常请求数据 一、导入工具包jwt-go生成token 命令导入安装包 go get -u github.com/dgrijalva/jwt-go 可在使用时包头直接引
Go语言jwt无感刷新以及解决SSO单点登录限制
cczj0的博客
01-31 1935
Jwt提供了生成token以及token验证的方法,而token是一种不用存储在服务端,只需要由用户携带即可实现认证的一种方式。在介绍JWT之前,我们也应该先了解cookie和session。
Go之JWT详解
思维小刀
01-20 1043
JWT详解 | 包包的Tech Pool
44.jwt在go中的使用及原理
YouMing_Li的博客
11-27 547
是一种用于身份验证的开放标准,它通过在用户和服务器之间传递被加密的JSON对象来安全地传输信息。JWT由三个部分组成:头部、载荷和签名。其中,头部包含加密算法和token类型等信息,载荷包含存储在token中的用户信息,签名用于验证token的真实性和完整性。避免在token中存储敏感信息,比如密码、银行卡号等。需要使用安全的算法来签名和加密token,比如使用HMAC或RSA加密。token中包含的用户信息不应该过多,只保留必要的信息即可。在使用JWT进行身份验证时,需要防止令牌被盗用。
Go 中 JWT 身份验证指南
分享身边生活经验blog
10-13 2024
JSON Web 令牌 (JWT) 是处理在线身份验证的流行方法,您可以使用任何服务器端编程语言实现 JWT 身份验证。对于一般的 JWT 阅读背景知识,我建议通过 LogRocket 博客上的这些文章了解更多关于JWT、最佳实践和使用 JWT 保护 RESTful API的信息。本文旨在帮助您开始使用该包在您的 Go Web 应用程序中实现 JWT 身份验证。golang-jwt由于其特性和易用性,该包是在 Go 中实现 JWT 最流行的包。该包提供了生成和验证 JWT 的功能。
golang jwt
09-21
Golang中的JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。JWT由三部分组成:头部、载荷和签名。头部包含了指定算法和类型的信息,载荷包含了需要传递的数据,签名用于验证数据的完整性和真实性。 在Golang中,有很多关于JWT的包可供使用,其中一个常用的包是`github.com/dgrijalva/jwt-go`。你可以使用以下命令安装该包:`go get github.com/dgrijalva/jwt-go`。 在使用JWT时,你需要了解以下几个基本概念和使用场景: 1. 基础概念:包括发行者、发布时间、到期时间、主题、听众、在此之前不可用和JWT ID等信息。 2. 使用场景:JWT常用于身份验证和授权,可以用于Web应用程序的用户认证、API访问控制等场景。 要在Golang中使用JWT,你可以按照以下步骤进行代码实现和服务测试: 1. 导入`github.com/dgrijalva/jwt-go`包。 2. 创建JWT的头部和载荷,并设置相应的字段值。 3. 使用指定的算法和密钥对JWT进行签名。 4. 将生成的JWT用于身份验证和授权。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值