Golang/Gin-JWT身份验证

最新推荐文章于 2024-04-30 16:28:10 发布
最新推荐文章于 2024-04-30 16:28:10 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: GO 文章标签: golang
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42887507/article/details/120688123
版权

Golang/Gin-JWT身份验证

前言

如果我们编写的api不需要验证就可以随意调用,显然是不安全的。我们需要对用户进行身份验证,根据用户身份提供服务。这时候JWT就派上用场了。

作者水平有限,有任何问题欢迎在文章下方交流!

JWT验证简介

JSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。

JWT验证流程

1、前端使用账户密码等信息向服务器发送POST请求;

2、服务器使用私钥secret加密账户密码等信息,生成一个token,并返回给前端;

3、前端使用该token附带在请求参数中,向服务器发送各种请求;

4、服务器验证前端请求时附带的token,验证成功,则对前端请求进行处理。

JWT的组成

jwt的token由3部分组成:

1、头部(header)

2、载荷(payload)

3、签证(signature)

jwt解密网址:https://jwt.io/

在这里插入图片描述

头部

JWT的头部采用base64对称加密,包含两个信息:

{
  "alg": "HS256", //声明加密算法
  "typ": "JWT"  //声明类型,为JWT
}

载荷

载荷是存放有效信息的地方。

标准中注册的声明**(建议但不强制使用)** :

  • iss: jwt签发者

  • sub: jwt所面向的用户

  • aud: 接收jwt的一方

  • exp: jwt的过期时间,这个过期时间必须要大于签发时间

  • nbf: 定义在什么时间之前,该jwt都是不可用的.

  • iat: jwt的签发时间

  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

其他信息可自行添加,但是不建议存放敏感信息,因为base64是对称解密的,意味着只要拿到token就可以解密出载荷中存放的信息。

签证

JWT的第三部分是签证信息,这个签证信息由三部分组成:

  • header (base64加密后的)
  • payload (base64加密后的)
  • secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

注意:密钥secret是存储在服务端的,jwt的token的签发生成也是在服务端的,secret是用来进行token的签发和验证,所以,它就是你服务端的私钥,切忌泄露!一旦其他人得知这个secret,那就意味着他可以自己随意签发jwt了,十分危险。

JWT-hello world

package main

// jwt身份验证demo

import (
	"fmt"
	jwt "github.com/dgrijalva/jwt-go"
	"time"
)

// 设置jwt密钥secret
var jwtSecret=[]byte("123")

type  Claims struct {
	UserID 	 string `json:"userid"`
	jwt.StandardClaims
}

// GenerateToken 生成token的函数
func GenerateToken(userid string)(string,error){
	nowTime :=time.Now()
	expireTime:=nowTime.Add(3*time.Hour)

	claims:=Claims{
		userid,  // 自行添加的信息
		jwt.StandardClaims{
			ExpiresAt: expireTime.Unix(), // 设置token过期时间
			Issuer: "gin-blog",  // 设置jwt签发者
		},
	}
	// 生成token
	tokenClaims:=jwt.NewWithClaims(jwt.SigningMethodHS256,claims)
	token,err:=tokenClaims.SignedString(jwtSecret)

	return token,err
}

// ParseToken 验证token的函数
func ParseToken(token string)(*Claims,error){
	// 对token的密钥进行验证
	tokenClaims,err:=jwt.ParseWithClaims(token,&Claims{},func(token *jwt.Token)(interface{},error){
		return jwtSecret,nil
	})

	// 判断token是否过期
	if tokenClaims!=nil{
		if claims,ok:=tokenClaims.Claims.(*Claims);ok && tokenClaims.Valid{
			return claims,nil
		}
	}

	return nil,err
}

func main() {
	// 生成一个token
	token,_:=GenerateToken("12")
	fmt.Println("生成的token:",token)
	// 验证并解密token
	claim,err:=ParseToken(token)
	if err!=nil {
		fmt.Println("解析token出现错误:",err)
	}else if time.Now().Unix() > claim.ExpiresAt {
		fmt.Println("时间超时")
	}else {
		fmt.Println("userid:",claim.UserID)
	}
}

JWT在实际项目中的使用

1、token的签发一般是在用户登录时进行,用户请求登录成功后就给前端签发一个token,用于后续请求其他接口的身份验证。

2、其他接口的JWT验证可以编写成一个中间件,以下以Gin框架中间件为例:

func JWT() gin.HandlerFunc {
	return func(context *gin.Context) {
		// 获取token
		token := context.Query("token")
		if token == "" {
			context.JSON(http.StatusOK, gin.H{
				"isSuccess": false,
				"mesg": "没有携带token",
			})
			context.Abort()
			return
		} else {
			claims, err := ParseToken(token)
			if err != nil {
				context.JSON(http.StatusOK, gin.H{
					"isSuccess": false,
					"mesg": "token验证失败",
				})
				context.Abort()
				return
			} else if time.Now().Unix() > claims.ExpiresAt {
				context.JSON(http.StatusOK, gin.H{
					"isSuccess": false,
					"mesg": "token已过期",
				})
				context.Abort()
				return
			}
		}
	}
}
ZibeSun
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
golang工程组件篇:高性能web框架gin之中间件编程及jwt身份认证
SMILY12138的博客
05-26 350
在开发web应用时,中间件和身份认证是必不可少的部分,它们可以使开发者更加便捷地开发应用程序,并保证程序的安全和稳定性。而gin作为一个高性能web框架,其中间件编程和jwt身份认证功能可以帮助开发者更加便捷地开发应用。上述代码定义了GenerateToken函数,接受一个User类型的参数,并且将其ID和Email作为payload编码成一个JWT。在gin框架中,我们可以使用JWT来实现身份认证功能。上述代码定义了一个名为AuthMiddleware的中间件,用于验证JWT并获取其中的用户ID信息。
golang-auth-jwt:golang-auth-jwt
03-30
运行-u github.com/dgrijalva/jwt-go 去运行-u github.com/gin-gonic/gin 环保 SECRET_KEY =“ ......” 功能 登入 报名 刷新令牌 登出 用户资料 的角色 中间件AuthToke用于检查验证令牌。 谢谢
gin-jwt:JWT Gin中间件框架
04-28
用于Gin框架的JWT中间件 这是框架的中间件。 它使用提供jwt身份验证中间件。 它提供了其他处理程序功能以提供将生成令牌的login api和可用于刷新令牌的其他refresh处理程序。 安全问题 简单的HS256 JWT令牌暴力破解程序。 仅对破解机密较弱的JWT令牌有效。 建议:使用强的长期机密或RS256令牌。 请参阅。 用法 使用下载并安装: export GO111MODULE=on go get github.com/appleboy/gin-jwt/v2 将其导入您的代码中: import "github.com/appleboy/gin-jwt/v2" 不使用下载并安装: go get github.com/appleboy/gin-jwt 将其导入您的代码中: import "github.com/appleboy/gin-jwt" 例子 请参阅示例
[Golang梦工厂]一个小项目带你学会GIN框架、JWT鉴权、swagger生成接口文档,看这一篇就够了
qq_39397165的博客
08-09 1580
前言 哈喽,大家好,我是asong,这是我的第八篇原创文章。听说你们还不会jwt、swagger,所以我带来一个入门级别的小项目。实现用户登陆、修改密码的操作。使用GIN(后台回复Golang梦工厂:gin,可获取2020GIN中文文档)作为web框架,使用jwt进行身份校验,使用swagger生成接口文档。代码已上传个人github:https://github.com/asong2020/Golang_Dream/tree/master/Gin/gin_jwt_swagger。有需要的自行下载,配有详细
Golang Gin框架搭建项目(五)jwt登录和权限验证
qq_26900081的博客
06-28 4449
1、AuthUtil.go : 用于生成和解析token 2、jwt相关配置:额外加上以下内容Golang Gin框架搭建项目(二)解析json配置文件_Bear Coding的博客-CSDN博客_gin解析json 3、登录接口:不包含业务逻辑,只验证jwt功能.........
golang gin——中间件编程以及jwt认证和跨域配置中间件案例
qq_43058348的博客
10-07 1634
gin中间件编程+jwt认证和跨域配置中间件案例
JWT的介绍与应用
CONSOLE11的博客
12-30 3477
目录 2.JWT的应用场景 3.JWT的应用详解 4.为什么要用JWT 2.1 传统Session认证的弊端 2.2 JWT认证的优势 5.JWT结构 1.Header 2.Payload 3.Signature 6.JWT的种类 JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT
Golang Gin框架 中间件(二)常用中间件(JWT验证、限流)
weixin_44054396的博客
09-01 3315
一、JWT验证中间件 1.对比 cookie、session、token、jwt 因为HTTP是无状态协议,无法证明切换了网页无法证明“你还是你”,所以为了能够保存一些状态或者信息,有了这些方案: cookie 由服务器生成,发送给浏览器,浏览器以键值对的方式保存下来,下次发送请求的时候带上cookie保存的信息传给客服务器。 缺点:每个域名下可使用数量少,大小也有限制。 session 由服务器生成,服务器保存主体信息,会发送一个sessionid给客户端cookie保存,下次发
GoLong的学习之路(十七)基础工具之Gin框架使用JWT(前后端分离)
Cheer_RIO的博客
10-30 307
JWT token的payload部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。:JWT的签发主体;:JWT的所有者;:JWT的接收对象;:JWT的过期时间;:JWT的生效开始时间;:JWT的签发时间;:是JWT的唯一标识除了以上标准声明以外。还有因为自己的需求不同来决定:JWT中来保存那些数据。例子:我们规定在JWT中要存储username信息,那么我们就定义一个MyClaims结构体。
8-gin使用JWT认证
kismile
03-26 584
什么是JWT JWT全称JSON Web Token是一种跨域认证解决方案,属于一个开放的标准,它规定了一种Token实现方式,目前多用于前后端分离项目和OAuth2.0认证的业务场景下。 为什么需要JWT 在偏传统的一些web项目中,我们通常使用的是Cookie-Session模式实现用户认证。相关认证流程大致如下: 用户在浏览器端填写用户名和密码,并发送给服务端 服务端对用户名和密码校验通过...
JWT详解及Golang实现
Korbin的博客
02-23 5157
文章目录1.背景2.概述3.组成3.1 Header3.2 Payload3.3 Signature4.令牌的校验5.续期方案5.1 方案15.2 方案26.Token总结7.Golang代码实现 1.背景 HTTP协议是一种无状态的协议,这意味着用户提供账号和密码进行登录认证后,下次再请求的时候,仍然需要认证,因为服务器并不知道是谁发送的请求,并不知道该用户已经认证过一次。   所以为了解决这一问题,保持客户端与服务端的会话状态,在服务器的缓存中需要为每位用户分配一份存储空间,用于存储用户的个人登录信息
golang-gin-restfulAPI-example-app:带有[Gin,MongoDB,gin-jwtgin-sessions,gin-authz,gin-swagger,validate.v9,casbin,go-ini]的Golang Restful API示例
02-04
golang-gin-restfulAPI-example-app 一个用go语言基于Gin写的restful风格api服务程序的例子。 项目特性 基于 使用数据库 权限验证 从session里取用户的角色进行权限管理 使用自动生成api文档 将gingin的validator.v8...
gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang-gin-web.zip
11-06
gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang-gin-web
golang-gin:使用Gin框架构建Golang应用,并使用Auth0 + JWT进行身份验证
04-29
使用Gin框架构建Golang应用,并使用Auth0 + JWT进行身份验证 此存储库包含 的代码示例 文章进行 。 设置 使用您的Auth0凭据更新main.go文件。 如果没有帐户,则免费一个帐户。 使用您的Auth0凭据更新views/app.jsx...
gin-web:由gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang版, 搭建完成即可快速、高效投入业务开发
04-30
Gin Web由gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang版, 搭建完成即可快速、高效投入业务开发特性RESTful API 设计规范Gin 一款高效的golang web框架MySQL 数据库存储Jwt 用户认证, 登入登出一键...
golang学习之旅】Go里面 if 条件判断语句
m0_60511809的博客
04-27 346
Go里面if条件判断语句中**不需要括号**
Go中为什么不建议用锁?
最新发布
hmx224_2014的专栏
04-30 549
Go语言中是不建议用锁,而是用通道Channel来代替(不要通过共享内存来通信,而通过通信来共享内存),当然锁也是可以用,锁是防止同一时刻多个goroutine操作同一个资源;GO语言中,要传递某个数据给另一个goroutine(协程),可以把这个数据封装成一个对象,然后把这个对象的指针传入某个channel中,另外一个goroutine从这个channel中读出这个指针,并处理其指向的内存对象。
golang调用阿里云发短信
hjx_dou的专栏
04-27 310
之前用golang封装的一个发送阿里云短信的工具包,代码如下。
golang变量常见问题总结
qq_47997583的博客
04-28 847
总结关于golang变量中的常见问题:1. 值类型和引用类型都有哪些;2. 值类型和引用类型的区别;3. 变量是否等于nil;4. 能否进行等值比较;5. 能否不分配内存直接添加元素
gin-jwt/v2 与 "github.com/golang-jwt/jwt/v4" 使用jwt 冲突
03-17
gin-jwt/v2 和 "github.com/golang-jwt/jwt/v4" 都是 Go 语言中用于处理 JSON Web Token (JWT) 的库,它们之间可能存在一些使用上的冲突。 gin-jwt/v2 是一个专门为 Gin 框架设计的 JWT 中间件,它提供了一些方便的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值