【Golang学习之旅】使用 JWT 进行身份认证(Token 机制)

于 2025-02-10 11:11:22 发布
阅读量1.5k 收藏 10
点赞数 19
文章标签: golang 学习 开发语言 云原生 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011313034/article/details/145542558
版权

文章目录

1. 引言

在现代 Web 应用和微服务架构中,身份认证是确保系统安全的关键环节。传统的 Session + Cookie 方式在单体应用中表现良好,但在分布式系统中存在扩展性问题。而 JWT(JSON Web Token) 作为一种轻量级、安全、跨平台的认证方式,广泛应用于 API 鉴权和用户身份认证场景。

本篇文章将深入探讨 JWT 认证机制,包括其原理、优缺点、使用方式,以及在 Go 语言中的实现示例。同时,我们还会讨论如何优化 JWT 的安全性,以及在实际应用中常见的误区。

2. 什么是 JWT?

2.1 JWT 概述

JWT(JSON Web Token)是一种基于 JSON 格式的 无状态认证机制,广泛应用于 RESTful API 的身份认证。它的基本思想是:服务器在用户登录成功后,生成一个 Token(令牌),然后客户端在后续的请求中携带该 Token,服务器通过解析 Token 进行身份验证。

JWT 具有以下特点:

  • 无状态:服务器不需要存储 Token 状态,所有信息都包含在 Token 内部。
  • 跨平台:基于 JSON 格式,可以在任何支持 HTTP 的环境中使用。
  • 自包含:Token 本身包含了身份验证相关的信息,减少了数据库查询。

2.2 JWT 的结构

JWT 由 三部分 组成,每一部分之间使用.号分隔:

Header.Payload.Signature
  • Header(头部):
    • 说明 Token 类型(通常是 JWT)。
    • 指定签名算法(如 HMAC、RSA)。
  • Payload(载荷):
    • 存储用户信息(如 user_idrole)。
    • 包含 Token 过期时间、签发时间等信息。
  • Signature(签名):
    • 用于校验 Token 的真实性,防止篡改。

2.3 JWT 示例

以下是一个 JWT Token 的示例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvbiBEb2UiLCJpYXQiOjE1MTYyMzkwMjJ9.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

解析后的内容:

  1. Header(Base64 编码)
{
  "alg": "HS256",
  "typ": "JWT"
}
  1. Payload(Base64 编码)
{
  "sub": "1234567890",
  "name": "Jon Doe",
  "iat": 1516239022
}
  1. Signature(HMAC SHA256 签名)
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret
)

3. 为什么选择 JWT 进行身份认证?

3.1 JWT vs. Session 认证

认证方式JWTSession
存储位置客户端服务器
扩展性易扩展,适合分布式需要共享 Session
安全性需妥善存储 TokenSession 存储在服务器
性能服务器无状态需要 Session 存取

3.2 JWT 的优缺点

✅ 优点

  • 无状态,减少服务器存储负担。
  • 跨域支持,适用于前后端分离架构。
  • 信息完整性,通过签名防止篡改。

❌ 缺点

  • 无法主动销毁,只能等 Token 过期。
  • Token 体积较大,占用更多带宽。
  • 容易被截获,需要 HTTPS 保护。

4. JWT 在 Go 语言中的实现

4.1 安装 JWT 库

在 Go 语言中,我们可以使用 github.com/golang-jwt/jwt/v4 进行 JWT 处理:

go get github.com/golang-jwt/jwt/v4

4.2 生成 JWT Token

package main

import (
	"fmt"
	"time"

	"github.com/golang-jwt/jwt/v4"
)

// 定义密钥(用于签名)
var secretKey = []byte("my_secret_key")

// 生成 JWT Token
func GenerateToken(username string) (string, error) {
	// 创建 JWT 负载
	claims := jwt.MapClaims{
		"username": username,
		"exp":      time.Now().Add(time.Hour * 2).Unix(), // 过期时间 2 小时
		"iat":      time.Now().Unix(),                   // 签发时间
	}

	// 创建 Token
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)

	// 进行签名
	return token.SignedString(secretKey)
}

func main() {
	token, err := GenerateToken("admin")
	if err != nil {
		fmt.Println("生成 Token 失败:", err)
	} else {
		fmt.Println("JWT Token:", token)
	}
}

4.3 解析 JWT Token

func ParseToken(tokenString string) (*jwt.Token, error) {
	return jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
		// 确保使用的是正确的签名方法
		if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
			return nil, fmt.Errorf("unexpected signing method")
		}
		return secretKey, nil
	})
}

4.4 验证 Token

func ValidateToken(tokenString string) {
	token, err := ParseToken(tokenString)
	if err != nil {
		fmt.Println("Token 解析失败:", err)
		return
	}

	// 验证 Token 是否有效
	if claims, ok := token.Claims.(jwt.MapClaims); ok && token.Valid {
		fmt.Println("用户:", claims["username"])
		fmt.Println("Token 过期时间:", claims["exp"])
	} else {
		fmt.Println("Token 无效")
	}
}

5. JWT 的安全性优化

5.1 使用 HTTPS 传输

避免 Token 被中间人攻击拦截。

5.2 缩短 Token 有效期

减少 Token 被盗用的风险,推荐 15-30 分钟 过期。

5.3 刷新 Token 机制

使用 短 Token + 刷新 Token,提高安全性。

5.4 服务器黑名单

用户登出时,将 Token 加入黑名单,防止滥用。

5.5 避免 JWT 过度滥用

仅用于身份认证,避免存储过多敏感信息。

6. 结论

JWT 是一种强大、灵活的身份认证机制,适用于前后端分离和微服务架构。本文介绍了 JWT 的基本概念、Go 语言实现方式,以及如何优化 JWT 认证的安全性。在实际项目中,我们需要结合业务需求,合理设计 Token 机制,确保安全性和可扩展性。

如果你对 JWT 有任何疑问或建议,欢迎在评论区留言讨论!🚀

Golang】Gin框架中如何使用JWT来实现登录认证
景天科技苑
11-01 5万+
JWT: JSON Web Token,是一种用于身份验证和授权的开放标准,JWT可以在网络应用间安全的传输。JWT由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature) JWT具有可扩展性、简单、轻量级、跨语言等优点,是前后端分离框架中最常用的验证方式。
Golang领域JWT:保障API安全的最佳实践
最新发布
Golang编程笔记的博客
04-17 1064
本文旨在为Golang开发者提供关于JWT在API安全领域的全面指南。我们将涵盖从基础概念到高级应用的所有层面,特别关注Golang环境下的实现细节和性能优化。文章首先介绍JWT的基本概念和工作原理,然后深入探讨Golang中的具体实现。我们将分析JWT的安全考量,提供实际项目中的最佳实践,最后讨论未来发展趋势。: 一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象Token: 在身份验证上下文中,指代用于验证用户身份的凭证Claims。
如何在Golang中实现JWT认证与授权
qq_18665023的博客
01-01 1046
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用环境间以一个简短的字符串安全地传输信息。头部(Header):通常包含两部分信息,类型(JWT)和签名算法(如HMAC SHA256或RSA)。有效载荷(Payload):包含我们要传递的数据,通常是用户的身份信息或权限等。签名(Signature):确保消息的完整性和防止篡改。它是通过头部和有效载荷用私钥签名生成的。通过本文的讲解,你应该已经掌握了如何在Golang使用JWT进行认证与授权。
Golang使用 JWT认证来 保障Restful JSON API的安全(英文) - 推酷
11-22
Golang使用 JWT认证来 保障Restful JSON API的安全(英文) - 推酷
JWT的介绍与应用
CONSOLE11的博客
12-30 3841
目录 2.JWT的应用场景 3.JWT的应用详解 4.为什么要用JWT 2.1 传统Session认证的弊端 2.2 JWT认证的优势 5.JWT结构 1.Header 2.Payload 3.Signature 6.JWT的种类 JSON Web TokenJWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT
Go实战--golang使用JWT(JSON Web Token)
weixin_33875839的博客
01-23 3681
http://blog.csdn.net/wangshubo1989/article/details/74529333 之前写过关于golang中如何使用cookie的博客: 实战–go中使用cookie 今天就来跟大家简单介绍一下golang中如何使用token,当然是要依赖一下github上的优秀的开源库了。 首先,要搞明白一个问题,token、cookie、session的区别。 t...
golang-jwt使用
a1023934860的博客
06-07 4185
1.在使用之前我们应该对它进行安装与导入 2.既然导入成功那就开始使用吧 3.逐步讲解首先我们先查看第一步 newWithClaims会返回一个Token结构体,而这个token结构体有以下属性 我们可以通过该结构体获取到加密后的字符串信息。接下来我们需要讲解一下Claims该结构体存储了token字符串的超时时间等信息以及在解析时的Token校验工作。 就是一个map集合,但是它实现了上面Valid()方法,该方法里面实现了对token过期日期校验、发布时间、生效时间的校验工作。 所以在map里面有三个固
golang 学习(三) ----jwt 使用
u014737237的博客
12-23 614
golang jwt
go token验证_golang jwt+token验证
weixin_42100188的博客
01-15 511
Token验证是验证用户身份的重要方式,在golang开发中具有广泛应用,文中主要阐述了利用jwt包加密后的token验证。导入包:import ("github.com/dgrijalva/jwt-go")// GenerateToken 生成Tokenfunc GenerateToken(mapClaims jwt.MapClaims, key string) (string, error) ...
golangjwt学习笔记
yasinawolaopo的博客
12-24 908
jwt使用jwt服务(只有编码)
Golang JWTToken策略
青烟绕指柔的博客
01-18 1754
为什么使用JWT? 因为在只需要存前端,后端无需存储。 为什么使用Token? 因为Token只能定时失效,所以时间不能太长,为了用户体验以及考虑服务器压力,所以使用Token,用一个refreshToken来做刷新,只要未失效,就可以返回新的双Token。 例子: package main import ( "errors" "fmt" "github.com/dgrijalva/jwt-go" "github.com/gin-gonic/gin" "strings" "time" )
Golang 搭建 WebSocket 应用(四) - jwt 认证
rubys007的博客
01-19 2155
JWT是的缩写,是一种用于在网络中安全传递信息的开放标准。它是一种紧凑且自包含的方式,用于在各方之间传递信息,通常用于身份验证和授权机制JWT主要由三个部分组成:头部(Header): 包含关于令牌的元数据,例如令牌的类型(typ)和签名算法(alg头部是一个JSON对象,通常会经过Base64编码。载荷(Payload): 包含要传递的信息,通常包括用户身份信息以及其他声明。载荷也是一个JSON对象,同样经过Base64编码。签名(Signature。
Go中使用JWT
寻找到底哪里有蓝天
04-20 243
原文链接:https://blog.csdn.net/m0_58121644/article/details/129643351 JWT (JSON Web Tokens) 是一种基于 JSON 格式的轻量级身份验证和授权方案。在 Go 项目中使用 JWT,一般需要完成以下步骤: 1. 安装 JWT 库 在 Go 项目中使用 JWT 需要先安装 JWT 库,可以使用以下命令安装: go ge...
golang中的jwt
11-06 366
最近项目中需要用到鉴权机制golangjwt可以用。下面分享两个jwt demo,一个用gin实现,一个用golang中的原生http实现。 https://www.cnblogs.com/jiujuan/p/11403066.html https://blog.csdn.net/cbmljs/article/details/86072395 ...
Go语言使用JWT
weixin_46272577的博客
06-07 1107
Go语言使用JWT
Go语言使用jwt
weixin_44867420的博客
11-23 706
golang ,jwt ,token
go jwt使用
Bug制造者
07-28 846
go jwt加密解密
golang入门笔记——jwt
qq_43716830的博客
06-11 897
jwt全称(JSON WEB TOKEN),是一种后台不做存储的前端身份验证的工具。分为三部分:Header、Claims、Signature
Golang实现Restful JSON API的JWT安全认证
"本文主要探讨如何在Golang中利用JWT(JSON Web Token)技术来确保Restful JSON API的安全。文章作者介绍了JWT的基本概念,并详细解释了如何在Go语言的环境中实施JWT认证,以保护API免受未经授权的访问。" 在Golang...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员林北北

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值