Golang/Gin-JWT身份验证

最新推荐文章于 2024-09-14 11:48:13 发布
最新推荐文章于 2024-09-14 11:48:13 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: GO 文章标签: golang
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42887507/article/details/120688123
版权

Golang/Gin-JWT身份验证

前言

如果我们编写的api不需要验证就可以随意调用,显然是不安全的。我们需要对用户进行身份验证,根据用户身份提供服务。这时候JWT就派上用场了。

作者水平有限,有任何问题欢迎在文章下方交流!

JWT验证简介

JSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。

JWT验证流程

1、前端使用账户密码等信息向服务器发送POST请求;

2、服务器使用私钥secret加密账户密码等信息,生成一个token,并返回给前端;

3、前端使用该token附带在请求参数中,向服务器发送各种请求;

4、服务器验证前端请求时附带的token,验证成功,则对前端请求进行处理。

JWT的组成

jwt的token由3部分组成:

1、头部(header)

2、载荷(payload)

3、签证(signature)

jwt解密网址:https://jwt.io/

在这里插入图片描述

头部

JWT的头部采用base64对称加密,包含两个信息:

{
  "alg": "HS256", //声明加密算法
  "typ": "JWT"  //声明类型,为JWT
}

载荷

载荷是存放有效信息的地方。

标准中注册的声明**(建议但不强制使用)** :

  • iss: jwt签发者

  • sub: jwt所面向的用户

  • aud: 接收jwt的一方

  • exp: jwt的过期时间,这个过期时间必须要大于签发时间

  • nbf: 定义在什么时间之前,该jwt都是不可用的.

  • iat: jwt的签发时间

  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

其他信息可自行添加,但是不建议存放敏感信息,因为base64是对称解密的,意味着只要拿到token就可以解密出载荷中存放的信息。

签证

JWT的第三部分是签证信息,这个签证信息由三部分组成:

  • header (base64加密后的)
  • payload (base64加密后的)
  • secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

注意:密钥secret是存储在服务端的,jwt的token的签发生成也是在服务端的,secret是用来进行token的签发和验证,所以,它就是你服务端的私钥,切忌泄露!一旦其他人得知这个secret,那就意味着他可以自己随意签发jwt了,十分危险。

JWT-hello world

package main

// jwt身份验证demo

import (
	"fmt"
	jwt "github.com/dgrijalva/jwt-go"
	"time"
)

// 设置jwt密钥secret
var jwtSecret=[]byte("123")

type  Claims struct {
	UserID 	 string `json:"userid"`
	jwt.StandardClaims
}

// GenerateToken 生成token的函数
func GenerateToken(userid string)(string,error){
	nowTime :=time.Now()
	expireTime:=nowTime.Add(3*time.Hour)

	claims:=Claims{
		userid,  // 自行添加的信息
		jwt.StandardClaims{
			ExpiresAt: expireTime.Unix(), // 设置token过期时间
			Issuer: "gin-blog",  // 设置jwt签发者
		},
	}
	// 生成token
	tokenClaims:=jwt.NewWithClaims(jwt.SigningMethodHS256,claims)
	token,err:=tokenClaims.SignedString(jwtSecret)

	return token,err
}

// ParseToken 验证token的函数
func ParseToken(token string)(*Claims,error){
	// 对token的密钥进行验证
	tokenClaims,err:=jwt.ParseWithClaims(token,&Claims{},func(token *jwt.Token)(interface{},error){
		return jwtSecret,nil
	})

	// 判断token是否过期
	if tokenClaims!=nil{
		if claims,ok:=tokenClaims.Claims.(*Claims);ok && tokenClaims.Valid{
			return claims,nil
		}
	}

	return nil,err
}

func main() {
	// 生成一个token
	token,_:=GenerateToken("12")
	fmt.Println("生成的token:",token)
	// 验证并解密token
	claim,err:=ParseToken(token)
	if err!=nil {
		fmt.Println("解析token出现错误:",err)
	}else if time.Now().Unix() > claim.ExpiresAt {
		fmt.Println("时间超时")
	}else {
		fmt.Println("userid:",claim.UserID)
	}
}

JWT在实际项目中的使用

1、token的签发一般是在用户登录时进行,用户请求登录成功后就给前端签发一个token,用于后续请求其他接口的身份验证。

2、其他接口的JWT验证可以编写成一个中间件,以下以Gin框架中间件为例:

func JWT() gin.HandlerFunc {
	return func(context *gin.Context) {
		// 获取token
		token := context.Query("token")
		if token == "" {
			context.JSON(http.StatusOK, gin.H{
				"isSuccess": false,
				"mesg": "没有携带token",
			})
			context.Abort()
			return
		} else {
			claims, err := ParseToken(token)
			if err != nil {
				context.JSON(http.StatusOK, gin.H{
					"isSuccess": false,
					"mesg": "token验证失败",
				})
				context.Abort()
				return
			} else if time.Now().Unix() > claims.ExpiresAt {
				context.JSON(http.StatusOK, gin.H{
					"isSuccess": false,
					"mesg": "token已过期",
				})
				context.Abort()
				return
			}
		}
	}
}
ZibeSun
关注
专栏目录
golang工程组件篇:高性能web框架gin之中间件编程及jwt身份认证
SMILY12138的博客
05-26 496
在开发web应用时,中间件和身份认证是必不可少的部分,它们可以使开发者更加便捷地开发应用程序,并保证程序的安全和稳定性。而gin作为一个高性能web框架,其中间件编程和jwt身份认证功能可以帮助开发者更加便捷地开发应用。上述代码定义了GenerateToken函数,接受一个User类型的参数,并且将其ID和Email作为payload编码成一个JWT。在gin框架中,我们可以使用JWT来实现身份认证功能。上述代码定义了一个名为AuthMiddleware的中间件,用于验证JWT并获取其中的用户ID信息。
gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang-gin-web.zip
11-06
Gin是一个高效的Web框架,Gorm是一个用于Go语言的ORM库,JWT(Json Web Token)常用于身份验证,而Casbin则是一个强大的访问控制库。 首先,Gin框架是基于Gorilla/Mux的轻量级HTTP服务器,它使用中间件来处理请求。...
[golang]在Gin框架中使用JWT鉴权
最新发布
weixin_30505255的博客
09-14 410
什么是JWT JWT,全称 JSON Web Token,是一种开放标准(RFC 7519),用于安全地在双方之间传递信息。尤其适用于身份验证和授权场景。JWT 的设计允许信息在各方之间安全地、 compactly(紧凑地)传输,因为其自身包含了所有需要的认证信息,从而减少了需要查询数据库或会话存储的需求。 JWT主要由三部分组成,通过.连接: Header(头部):描述JWT的元数据,通常包...
Gin jwt
JunChow
04-23 349
在线解析Token:https://jwt.io/ JWT(JSON Web Token)是为了在网路应用环境之间传递声明而执行的一种基于JSON的开放标准(RFC7519)JWT是一个非常轻巧的规范,该规范允许使用Token在客户端和服务端之间传递安全可靠的信息。 JWT的Token被设计为紧凑且安全的,因此特别适用于分布式站点的单点登录(SSO)场景。JWT的Token可直接被用于认证,...
golang gin——中间件编程以及jwt认证和跨域配置中间件案例
qq_43058348的博客
10-07 1846
gin中间件编程+jwt认证和跨域配置中间件案例
Golang Gin框架搭建项目(五)jwt登录和权限验证
qq_26900081的博客
06-28 4701
1、AuthUtil.go : 用于生成和解析token 2、jwt相关配置:额外加上以下内容Golang Gin框架搭建项目(二)解析json配置文件_Bear Coding的博客-CSDN博客_gin解析json 3、登录接口:不包含业务逻辑,只验证jwt功能.........
golang-auth-jwt:golang-auth-jwt
03-30
运行-u github.com/dgrijalva/jwt-go 去运行-u github.com/gin-gonic/gin 环保 SECRET_KEY =“ ......” 功能 登入 报名 刷新令牌 登出 用户资料 的角色 中间件AuthToke用于检查验证令牌。 谢谢
golang-gin-restfulAPI-example-app:带有[Gin,MongoDB,gin-jwtgin-sessions,gin-authz,gin-swagger,validate.v9,casbin,go-ini]的Golang Restful API示例
02-04
golang-gin-restfulAPI-example-app 一个用go语言基于Gin写的restful风格api服务程序的例子。 项目特性 基于 使用数据库 权限验证 从session里取用户的角色进行权限管理 使用自动生成api文档 将gingin的validator.v8...
gin-jwt/v2 与 "github.com/golang-jwt/jwt/v4" 使用jwt 冲突
03-17
它使用了 "github.com/dgrijalva/jwt-go" 这个库来处理 JWT 的生成和验证。 而 "github.com/golang-jwt/jwt/v4" 是一个通用的 JWT 库,它提供了一些基本的功能来生成和验证 JWT。它是由 Go 官方团队维护的,相对来...
gin "github.com/golang-jwt/jwt/v5"
07-25
`github.com/golang-jwt/jwt/v5` 是一个非常受欢迎的 JWT 库,它提供了创建、解析和验证 JWT 的功能。在使用该库时,你可以使用 `gin` 这个别名来引入并使用 JWT 功能。如果你有任何其他问题,我会很乐意帮助你!
auth:了解在Golang中设置身份验证的基础知识
02-06
golang认证 要启动此应用,请按顺序执行以下步骤 将此仓库克隆到您的计算机 进入项目文件夹 输入go run main.go以启动服务器
Golang JWT
qq_37112905的博客
08-29 231
Golang JWT http的无状态催生了cookie 和seesion Cookie cookie是保存在客户端中的客户端相关的用户信息:用户名密码等可以用于服务端的二次验证,初始访问时的客户端请求不携带cookie,服务端会为其添加对应的cookie字段二次访问时cookie和客户端请求一起发送到服务端 Cookie分为会话Cookie和持久Cookie: 会话Cookie不保存到硬盘...
gin中使用JWT
liu289747235的专栏
01-20 854
我们需要定制自己的需求来决定JWT中保存哪些数据,比如我们规定在JWT中要存储username信息,那么我们就定义一个MyClaims// CustomClaims 自定义声明类型 并内嵌jwt.RegisteredClaims// jwt包自带的jwt.RegisteredClaims只包含了官方字段// 假设我们这里需要额外记录一个username字段,所以要自定义结构体// 如果想要保存更多信息,都可以添加到这个结构体中// 可根据需要自行添加字段。
Golang实现更安全的HTTP基本认证(Basic Authentication)
dzqxwzoe的博客
02-21 1095
本文介绍了Go如何实现安全http基本认证,首先介绍原理,后面给出详细实现过程,最后通过curl和GOhttp客户端进行验证。详细内容参考:https://www.alexedwards.net/blog/basic-authentication-in-go。
JWT的介绍与应用
CONSOLE11的博客
12-30 3664
目录 2.JWT的应用场景 3.JWT的应用详解 4.为什么要用JWT 2.1 传统Session认证的弊端 2.2 JWT认证的优势 5.JWT结构 1.Header 2.Payload 3.Signature 6.JWT的种类 JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT
8-gin使用JWT认证
kismile
03-26 654
什么是JWT JWT全称JSON Web Token是一种跨域认证解决方案,属于一个开放的标准,它规定了一种Token实现方式,目前多用于前后端分离项目和OAuth2.0认证的业务场景下。 为什么需要JWT 在偏传统的一些web项目中,我们通常使用的是Cookie-Session模式实现用户认证。相关认证流程大致如下: 用户在浏览器端填写用户名和密码,并发送给服务端 服务端对用户名和密码校验通过...
golang(gin) 接入jwt,使用token验证身份
刘富国的博客
06-13 8383
1)这里使用开源的 jwt-go 1.token 工具类 package handler import ( "awesomeProject/utils" "github.com/dgrijalva/jwt-go" "github.com/gin-gonic/gin" "time" ) //用户信息类,作为生成token的参数 type UserClaims struct { ID string `json:"userId"` Name string `json:"name"` P.
golang中的JWT
猛犸象
10-09 777
JWT是一种协议,和语言无关,只需要按照协议来加密和解析即可,但是golang是强类型的,所以自定义的claims中的各字段要正确定义,否则无法解析。 首先需要设置加密算法(比如 HS256)和 JWT Secret。 当拿到一个JWT Token之后可以先Debug查看其三个部分的定义。 关于JWT的原理可以参考 https://blog.csdn.net/raoxiaoya/article/details/101781339 也就是说,通过JWT Token 就可以知道算法(第一部分)和claims(
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值