12、Go Gin使用JWT实现认证机制

已于 2024-05-21 12:08:05 修改
阅读量1.1k 收藏 9
点赞数 19
分类专栏: Go Gin 文章标签: gin
于 2024-05-15 17:18:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39335595/article/details/138907928
版权

什么是JWT

JWT是JSON Web Token的缩写,是一种跨域认证的解决方案。 

使用JWT解决什么问题 

传统的登录认证的实现,依赖客户端浏览器的cookie和服务器的session,这种实现登录的方式有很大的局限性。

对于部署在单台服务器的应用来说,使用cookie+session登录认证的方案尚且可以接受。

但如果应用程序需要部署到多台服务器上呢?这里面就涉及到session的共享问题,另外,如果不同的域名想实现单点登录功能呢?显示cookie+session同样无法做到。

而要解决上面提出的问题,可以使用JWT,让应用变成无状态,避免session共享问题,而且可以很容易实现服务器的扩展。

JWT的格式 

一个正确的JWT格式如下所示:JWT字符串由Header,Payload,Signature三个部分组成,中间使用逗号连接

Header:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
Payload:eyJpZCI6MTAwMDEsInVzZXJuYW1lIjoic2hpIiwiZXhwIjoxNzE1ODI2ODQ2LCJpc3MiOiJzaGkifQ

Signature:C6wT3MQVWVfMIVtOWEKbnY9yL9uWKV0Yi9yJJXrWIXw

完整token: 

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTAwMDEsInVzZXJuYW1lIjoic2hpIiwiZXhwIjoxNzE1ODI2ODQ2LCJpc3MiOiJzaGkifQ.C6wT3MQVWVfMIVtOWEKbnY9yL9uWKV0Yi9yJJXrWIXw

Header(头部)

Header是一个JSON对象,由token类型和加密算法两个部分组成的

{
  "typ": "JWT",//默认为JWT
  "alg": "HS256"//支持多种加密算法
}

 将上面的JSON对象使用Base64URL算法转换成字符串,即可得到JWT中的Header部分

Base64 编码是一种将二进制数据编码为 ASCII 字符串的方法。然而,Base64 编码后的字符串中可能包含 +/= 这三个字符,这些字符在 URL 中有特殊含义:

  • + 字符在 URL 中用作分隔符。
  • / 字符在 URL 中用于分隔路径。
  • = 字符在 URL 中用作查询参数的赋值符号。

为了避免这些字符在 URL 中引起问题,JWT 使用了 Base64 URL 安全编码,它是 Base64 编码的一个变种,做了以下修改:

  • 将 + 替换为 -,这在 Base64 URL 编码中是常见的替换字符。
  • 将 / 替换为 _,这同样是为了 URL 安全。
  • 移除 =,这是 Base64 编码中的填充字符,用于确保编码后的字符串长度是 4 的倍数。在 Base64 URL 编码中,这个填充字符被省略,以避免在 URL 中使用。
Payload(有效信息、有效载荷)

JWT的Payload部分与Header一样,也是一个JSON对象,用来存放我们实际需要的数据,JWT标准提供了七个可选的字段,分别为:

除了标准的字段外,我们可以任意定义私有的字段以满足业务需求,如:

{
    iss:"my",//标准字段
    jti:"test",//标准字段
    username:"aaa",//自定义字段
    "gender":"男",
    "avatar":"https://1.jpg"
}

将上面的JSON对象使用Base64URL算法转换成字符串,即可得到JWT中的Payload部分。

Signature(签证)

Signature是JWT的签名,生成方式为:将Header与Payload进行Base64URL算法编码后,用逗号链接,再使用密钥(secretKey)和Header中指的加密方式进行加密,最终生成Signature。

JWT的特点

  1. 最好使用HTTPS协议,防止JWT被盗的可能。

  2. 除了JWT签发时间到期外,没有其他办法让已经生成的JWT失效,除非服务器端换算法。

  3. 在JWT不加密的情况下,JWT不应该存储敏感的信息,如果要存放敏感信息,最好再次加密。

  4. JWT最好设置较短的过期时间,防止被盗用后一直有效,降低损失。

  5. JWT的Payload也可以存储一些业务信息,这样可以减少数据库的查询。

JWT的使用

服务器签发JWT后,发送给客户端,客户端如果是浏览器的话,可以将其存放在cookie或localStorage中,如果是APP的话,则可以存放在sqlite数据库中。

然后每一次接口请求时都带上JWT,而带上来给服务端的方式,也有很多种,比如query、cookie、header或者body,总之就是一切可以带上数据给服务器的方式都可以,但比较规范的做还是通过header Authorization上传。

在Go项目中使用JWT

在Go项目中如何生成以及解析JWT,这里我们使用github.com/golang-jwt/jwt这个库来帮我们生成或解析JWT。

生成

使用NewWithClaims()方法生成Token对象,再通过Token对象的方法来生成JWT字符串
案例一
package main

import (
	"github.com/golang-jwt/jwt"
	"log"
	"time"
)

func main() {
	hmacSampleSecret := []byte("123qwe") //密钥,不能泄露
	//生成token对象
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.MapClaims{
		"foo": "bar",
		"nbf": time.Date(2015, 10, 10, 12, 0, 0, 0, time.UTC).Unix(),
	})
	//生成jwt字符串
	jwtString, err := token.SignedString(hmacSampleSecret)
	if err != nil {
		log.Fatal("签署JWT时出错", err)
	}
	log.Println("JWT String:", jwtString)
}
案例二  
package main

import (
	"github.com/golang-jwt/jwt" //也可以"github.com/dgrijalva/jwt-go"
	"log"
	"time"
)

/*
使用 JWT 库(如 github.com/dgrijalva/jwt-go、github.com/golang-jwt/jwt)可以创建和解析 JWT 令牌。
以下是使用 NewWithClaims 方法生成 JWT Token 对象,并通过该对象的方法生成 JWT 字符串
*/
func main() {
	// 定义 Claims
	//Claims 是 JWT 承载的有效信息,包括注册声明(如 iss, sub, aud 等)和自定义声明。您需要定义一个 map 或结
最低0.47元/天 解锁文章
比猪聪明
关注
  • 19
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Gin使用JWT认证以及JWT的续签方案
Monkey_D_Newdun的博客
01-31 2583
记录了一下在Gin中简单的使用JWT,并且想了一个简单的Token续签方案,不需要服务端保存Token的状态,前端也不需要过多的配合
gin-jwt:JWT Gin中间件框架
04-28
用于Gin框架的JWT中间件 这是框架的中间件。 它使用提供jwt身份验证中间件。 它提供了其他处理程序功能以提供将生成令牌的login api和可用于刷新令牌的其他refresh处理程序。 安全问题 简单的HS256 JWT令牌暴力破解程序。 仅对破解机密较弱的JWT令牌有效。 建议:使用强的长期机密或RS256令牌。 请参阅。 用法 使用下载并安装: export GO111MODULE=on go get github.com/appleboy/gin-jwt/v2 将其导入您的代码中: import "github.com/appleboy/gin-jwt/v2" 不使用下载并安装: go get github.com/appleboy/gin-jwt 将其导入您的代码中: import "github.com/appleboy/gin-jwt" 例子 请参阅示例
DRF-JTW
Python_anning的博客
10-12 417
1 JWT认证 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token(本质就是token)认证机制。 # Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 # JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获
Go 语言 Web 开发:使用 GinJWT 实现用户认证
m0_62153576的博客
10-14 457
在现代的 Web 开发中,用户认证是一个关键的功能。本文将介绍如何使用 Go 语言的 Gin 框架和 JWT(JSON Web Token)库实现用户认证JWT 是一种轻量级的身份验证机制,通过在用户和服务器之间传递经过签名的令牌来实现
Gin使用jwt-go实现JWT鉴权登陆
mjiarong的博客
10-01 1438
JWT全称Json web token ,是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,是目前最流行的跨域身份验证解决方案。JWT基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息,一旦用户完成了登陆,在接下来的每个请求中都会包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限的验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,这也为应用的扩展提供了便利。JWT 以 JSON 对象的形式安全传递信息。
基于gin的golang web开发之认证利器jwt
01-19
JSON Web Token(JWT)是一种很流行的跨域认证解决方案,JWT基于JSON可以在进行验证的同时附带身份信息,对于前后端分离项目很有帮助。 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI...
gin-web:由gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang版, 搭建完成即可快速、高效投入业务开发
04-30
Gin Web由gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang版, 搭建完成即可快速、高效投入业务开发特性RESTful API 设计规范Gin 一款高效的golang web框架MySQL 数据库存储Jwt 用户认证, 登入登出一键...
GO语言gin框架实现管理员认证登陆接口
12-16
实现这个逻辑首先要有数据库表结构如下: CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCREMENT, `name` varchar(50) NOT NULL DEFAULT '', `password` varchar(50) NOT NULL DEFAULT '', `nickname` ...
gin-jwt:用于Gin http框架的JWT中间件
05-01
"github.com/dgrijalva/jwt-go" "github.com/gin-gonic/gin" "github.com/itzamna314/gin-jwt/jwtauth" ) const superSecretKey = "CAFEBEEF" func main () { validator := jwtauth. Validator { Key : [] ...
一个支持多存储的文件列表/WebDAV程序,使用 Gin 和 Solidjs
hjx_dou的专栏
06-09 246
WebDav (具体见 https://alist.nn.ci/zh/guide/webdav.html)网页上传(可以允许访客上传),删除,新建文件夹,重命名,移动,复制。看了下介绍,支持挺多oss和云盘的,看了下代码,值得学习一下。Office 文档预览(docx、pptx、xlsx、…文件预览(PDF、markdown、代码、纯文本……受保护的路由(密码保护和身份验证)单线程下载/串流的多线程下载加速。视频和音频预览,支持歌词和字幕。文件永久链接复制和直接文件下载。文件/文件夹打包下载。
注册与表格显示.rar
06-13
注册与表格显示.rar
aiohttp-3.8.0-cp36-cp36m-musllinux_1_1_x86_64.whl
06-13
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
fpga有助于大家理解和学习
06-13
fpga
pyzmq-14.4.1-py2.7-macosx-10.6-intel.egg
最新发布
06-13
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
基于Selenium的Java爬虫实战(内含谷歌浏览器Chrom和Chromedriver版本121.0.6105.0)
06-13
资源包括: 1.Java爬虫实战代码 2.selenium学习笔记 3.代码演示视频 4.谷歌浏览器chrom121.0.6105.0 chrome-linux64.zip chrome-mac-arm64.zip chrome-mac-x64.zip chrome-win32.zip chrome-win64.zip 5.谷歌浏览器驱动器Chromedriver121.0.6105.0 chromedriver-linux64.zip chromedriver-mac-arm64.zip chromedriver-mac-x64.zip chromedriver-win32.zip chromedriver-win64.zip 特别说明:Chrome 为测试版(不会自动更新) 仅适用于自动测试。若要进行常规浏览,请使用可自动更新的标准版 Chrome。)
PHP聚合通多平台支付平台源码.zip
06-13
php聚合通多平台支付平台源码,源码搭建了一下,这个源码不复杂,修改一下数据库账号密码然后导入数据库就可以,和网站恢复备份一样简单!
数学软件 Matlab- 二维平面作图、三维空间作图
06-13
二维平面作图 三维空间作图 符号作图 Matlab 绘图过程/原理
教育行业数字化高校安全管理平台解决方案_2.pptx
06-13
教育行业数字化高校安全管理平台解决方案_2
gin-jwt/v2 与 "github.com/golang-jwt/jwt/v4" 使用jwt 冲突
03-17
gin-jwt/v2 和 "github.com/golang-jwt/jwt/v4" 都是 Go 语言中用于处理 JSON Web Token (JWT) 的库,它们之间可能存在一些使用上的冲突。 gin-jwt/v2 是一个专门为 Gin 框架设计的 JWT 中间件,它提供了一些方便的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值