【go】JWT安全验证理解与实践

最新推荐文章于 2024-06-05 12:54:08 发布
最新推荐文章于 2024-06-05 12:54:08 发布
阅读量616 收藏 1
点赞数
分类专栏: |go| 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuzk2014/article/details/112763471
版权

1 JWT

JWT (JSON Web Token)是一个开放标准(RFC 7519),指基于JSON的、用于在网络上声明某种主张的令牌(token),以保证各方之间安全的传输信息。
JWT通过将用户信息加密到token中,服务端不需要保存任何用户信息。服务端只需要通过保存的密钥来验证token正确性,如果正确即通过验证。

2 组成

JWS实际上就是一个字符串,由三部分组成,头部(Header)、载荷(Payload)、签名(Signature),并以.进行拼接。其中头部和载荷都是以JSON格式存放数据,只是进行了编码。

2.1 头部(Header)

每个JWT都会带有头部信息,这里主要声明使用的算法。声明算法的字段名为alg,同时还有一个typ的字段,默认JWT即可。以下示例中算法为HS256。

{
  "alg": "HS256",
  "typ": "JWT"
}

因为JWT是字符串,所以我们还需要对以上内容进行Base64编码,编码后字符串如下:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

2.2 载荷(Payload)

载荷即消息体,这里会存放实际的内容,也就是Token的数据声明(Claim)。这一段有一些是标准字段,当然也可以根据自己需要添加自己需要的字段。标准字段如下:

iss: Token签发者。格式是区分大小写的字符串或者uri,用于唯一标识签发token的一方。
sub: Token的主体,即它的所有人。格式是区分大小写的字符串或者uri。
aud: 接收Token的一方。格式为区分大小写的字符串或uri,或者这两种的数组。
exp: Token的过期时间,格式为时间戳。
nbf: 指定Token在nbf时间之前不能使用,即token开始生效的时间,格式为时间戳。
iat: Token的签发时间,格式为时间戳。
jti: 指此Token的唯一标识符字符串。主要用于实现唯一性保证,防止重放。
下面是一个示例:

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

同样进行Base64编码后,字符串如下:

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

2.3 签名(Signature)

签名是对头部和载荷内容进行签名,一旦前面两部分数据被篡改,只要服务器加密用的密钥没有泄露,得到的签名肯定和之前的签名不一致。

签名的过程:

对header的json数据进行Base64URL编码,得到一个字符串str1
对payload的json数据进行Base64URL编码,得到一个字符串str2
使用.对以上两个字符串进行拼接,得到字符串str3
使用header中声明的算法,以及服务端的密钥,对拼接字符串进行加密,生成签名
如果用伪代码表示就是(以HS256为例):

HMACSHA256(
    base64UrlEncode(header) + "." +
    base64UrlEncode(payload),
    secret
)

将三组字符串,以.相连,就得到了一个完整的token,例如:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.OFHM3R8PSyHDT_vuzRF5fYkYWdhExM_9pE81kG05qAk

3 如何使用JWT?

在之前的传统的方法时在服务端存储一个session,并给客户端返回一个cookie。而如果是使用jwt来做身份鉴定的话,当用户登录成功,会给用户一个token,前端只需要在本地保存该token即可(通常使用localStorage,也可以使用cookie)。

当用户需要访问一个受保护的资源时,需要再Header中使用Bearer模式的Authorization头。其内容看起来是下面这样:

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.OFHM3R8PSyHDT_vuzRF5fYkYWdhExM_9pE81kG05qAk

JWT的优缺点
优点:

json具有通用性,所以可以跨语言。
组成简单,字节占用小,便于传输
服务端无需保存会话信息,很容易进行水平扩展
一处生成,多处使用,可以在分布式系统中,解决单点登录问题
可防护CSRF攻击
缺点:

payload部分仅仅是进行简单编码,所以只能用于存储逻辑必需的非敏感信息
需要保护好加密密钥,一旦泄露后果不堪设想
为避免token被劫持,最好使用https协议
针对已经办法的令牌,无法作废,不容易应对数据过期的问题。
Golang实现
在https://jwt.io/为我们推荐了几个golang的Package,我们选用其中的github.com/SermoDigital/jose。

安装:

go get github.com/SermoDigital/jose

代码示例:

import (
	"fmt"
	"time"

	"github.com/SermoDigital/jose/jws"
)

type Conf struct {
	Method string // 加密算法
	Key    string // 加密key
	Issuer string // 签发者
	Expire int64  // 签名有效期
}

var conf = Conf{
	Method: "HS256",
	Key:    "sahjdjsgaudsiudhuywge",
	Issuer: "testIssuer",
	Expire: 100,
}

// GetJWT 获取json web token
func GetJWT(data map[string]interface{}) (token string, err error) {
	payload := jws.Claims{}
	for k, v := range data {
		payload.Set(k, v)
	}
	now := time.Now()
	payload.SetIssuer(conf.Issuer)
	payload.SetIssuedAt(now)
	payload.SetExpiration(now.Add(time.Duration(conf.Expire) * time.Minute))
	jwtObj := jws.NewJWT(payload, jws.GetSigningMethod(conf.Method))
	tokenBytes, err := jwtObj.Serialize([]byte(conf.Key))
	if err != nil {
		return
	}
	token = string(tokenBytes)
	return
}

// VerifyJWT 验证json web token
func VerifyJWT(token string) (ret bool, err error) {
	jwtObj, err := jws.ParseJWT([]byte(token))
	if err != nil {
		return
	}
	err = jwtObj.Validate([]byte(conf.Key), jws.GetSigningMethod(conf.Method))
	if err == nil {
		ret = true
	}
	return
}
alexliu2360
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
go使用JWT
22333
05-01 765
JWT 包: “github.com/dgrijalva/jwt-go” 声明结构体: type MyStandardClaims struct { Username string `json:"username"` jwt.StandardClaims } 添加属性:jwt.StandardClaims 设置密钥: myKey := []byte(“qwertyuiop”) 创建结构体: ms := MyStandardClaims{ Username: "hzyy", S
JWT安全认证
qq_45244974的博客
04-09 419
JWT安全相关代码![在这里插入图片描述](https://img-blog.csdnimg.cn/2020040923251333.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ1MjQ0OTc0,size_16,color_...
使用go进行 JWT 验证
weixin_34006468的博客
01-29 187
对于使用负载均衡的服务器来说,使用 JWT(JSON WEB TOKEN) 是一个更优的选择,session受到单台服务器的限制,一个用户登录过后就只能分配到这一台服务器上,这和负载均衡的初衷不一致啊,而 jwt 就解决了这类的痛点 使用 JWT 的场景 身份验证 用户在登录过后服务器会用 jwt 返回用户可访问的资源,比如权限什么的 ...
go语言后端开发学习(一)——JWT的介绍以及基于JWT实现登录验证
最新发布
qq_73924465的博客
06-05 1268
在RFC标准中,JWTHeader: 头部Payload: 载荷Signature: 签名我们会将这里的每一个部分用一个点而这就是一个JWT令牌的标准结构,接下来网格大家来逐个讲解每个结构的作用。// JWT结构体JWTKey []byte // JWT密钥func NewJWT() *JWT { //新建JWT结构体// 自定义声明Username string `json:"username"` //这里的与gorm中声明的保持一致// 定义相关错误信息var (
Go实现jwt
滢光点点
04-20 6276
版权声明:本文为博主原创文章,博客地址: https://blog.csdn.net/zxy_666/article/details/80021331,未经博主允许不得转载。 基础知识前瞻 前言: 因为http协议是一种无状态协议,这就涉及用户访问系统的状态保持问题。 在登录系统的设计中,当用户访问系统时,服务器需要认证用户登录相关的信息,以决定用户能否登录到系...
Go中使用JWT
寻找到底哪里有蓝天
04-20 187
原文链接:https://blog.csdn.net/m0_58121644/article/details/129643351 JWT (JSON Web Tokens) 是一种基于 JSON 格式的轻量级身份验证和授权方案。在 Go 项目中使用 JWT,一般需要完成以下步骤: 1. 安装 JWT 库 在 Go 项目中使用 JWT 需要先安装 JWT 库,可以使用以下命令安装: go ge...
Golang-auth:该存储库基于golang JWT身份验证
03-14
**Golang-auth: 基于Golang的JWT...总之,Golang-auth项目提供了一个实践JWT身份验证的起点,通过它你可以学习到如何在Golang中实现安全、高效的用户认证系统。理解并掌握这些知识点,对于构建安全的Web服务至关重要。
jwt-practice:JWT在Golang中的实践
03-19
总之,JWT在Golang中的实践涉及到了令牌的生成、验证以及在Web应用中的集成,通过合理的配置和使用,可以有效地实现安全的身份认证和授权机制。理解JWT的原理和Golang中相关的库和方法,对于构建安全的Web服务至关...
go-jwt-auth:带有golang的JWT授权
03-17
本篇将深入探讨如何使用Golang(Go语言)实现JWT授权,以提高应用程序的安全性。 JWT是一种基于JSON的开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。这个信息可以被验证和信任,因为它是数字...
go-jwt:JSON Web 令牌的安全实现
06-14
在Go语言环境中,`go-jwt`是一个用于处理JWT的库,它提供了一个方便且安全的接口来生成和验证这些令牌。 `go-jwt`库的实现允许开发者创建JWTs,这些JWTs包含了可验证的声明,通常包括用户身份信息。JWTs由三部分...
grpc-jwt:探索gRPC验证JWT的示例代码
05-15
在这个"grpc-jwt"项目中,我们将深入探讨如何在Go语言环境下使用gRPC和JWT进行安全通信。 首先,我们需要了解gRPC的基本概念。gRPC是一个高性能、开源和通用的RPC(远程过程调用)框架,由Google设计并支持跨平台...
go-jose, Go,JOSE标准的实现( JWE JWS JWT ).zip
10-10
go-jose, Go,JOSE标准的实现( JWE JWS JWT ) JOSE Package包旨在提供一个Javascript对象签名和加密集合的实现。 这包括对JSON网络加密。JSON网络签名和JSON网络令牌标准的支持。免收费 Disclaimer: 这里库包含受 美国 出口
jwt:Go的快速,简单的JWT实现
05-07
智威汤逊 用编写的快速简单的实现。 该软件包在设计时考虑了安全性,性能和简便性,它保护令牌免受。 请为这个开源项目加注以吸引更多的开发人员,以便我们共同改善它! 安装 唯一的要求是。 $ go get github.com/kataras/jwt 导入为import "github.com/kataras/jwt"并将其用作jwt.XXX 。 目录 验证令牌 解码自定义声明 JSON必需标签标准索偿验证器 阻止令牌 令牌对 JSON Web算法 选择正确的算法 使用您自己的算法 产生金钥 加载和解析键 加密 基准测试 例子 基本的 自定义标题 HTTP中间件 黑名单 JSON必需标签 自定义验证 进阶:Iris中间件 高级:Redis阻止列表 参考 执照 入门 使用Sign方法签名并生成令牌,以紧凑形式返回令牌。 (可选)设置到期时间,如果有效负载中缺少"exp" ,请使用jwt
Go-jwthelper是一个Golang包提供了JWT(JSONWebToken)功能基于jwt-go.
08-14
jwthelper是一个Golang包提供了JWT(JSON Web Token)功能基于jwt-go.
Go语言使用JWT
weixin_46272577的博客
06-07 1015
Go语言使用JWT
在 Go 项目中使用 JWT
weixin_52906070的博客
09-06 248
它接受用户的 ID 和用户名作为参数,并返回一个签名的 JWT 字符串。需要注意的是,在实际应用中,需要更加严格地设置 JWT 的有效期、密钥等参数,以确保安全性。在实际应用中,应该使用更安全的方法来存储密钥,而不是硬编码在代码中。结构体:这是 JWT 中的声明,包括用户的 ID、用户名以及标准的 JWT 声明(如过期时间和签发者)。函数:这个函数用于验证 JWT。它接受一个 JWT 字符串作为参数,并返回 JWT 的声明(在 Go 项目中,可以使用 JWT 库的。函数来验证 JWT 的签名,并返回声明。
Go JWT 全面指南
cmy_top的博客
03-07 1725
本文首先对 JWT 进行了概述,随后深入讲解了在 Go 语言下使用 JWT 的全过程。内容包括安装 Go 的 JWT 模块、创建 JWT 对象、生成 JWT 字符串以及解析 JWT 字符串的详细指南。
go代码实现jwt
qianzongCui的博客
12-29 1704
go代码实现jwt
go jwt使用
Bug制造者
07-28 741
go jwt加密解密
理解JWT安全:身份验证与数据传输
JWT(JSON Web Token)是一种广泛用于身份验证和数据传输的安全机制,它允许在客户端和服务端之间安全地传递信息,而无需在每次请求时都进行服务器会话状态的检查。JWT的出现解决了传统Session存储在服务器端带来的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值