本文介绍了一个使用gToken实现JWT身份验证的项目,详细阐述了前后端如何进行token的生成、校验和刷新流程。在Go后端,涉及到token生成及校验模块和API接口的设计;在React前端,讨论了token校验模块以及login和token刷新程序的实现。测试部分确保了整个流程的安全性和有效性。
go与react同时校验token
about JWT and gToken
JWT(JSON Web Token)是一种基于Token的身份验证和授权机制,它使用JSON格式来表示用户身份信息。
jwt在前后端分离项目中常用,jwt是token中一种实现方式之一,如JWT-dgrijalva和JWT-form3tech第三方包。
gToken是JWT实现方式之一,用来实现前后端基于Token的身份认证。
gToken使用
gToken是一种非常简单实用的jwt第三方包,token采用AES/CBC模式加密。前后端都可以有效校验token包。
UserID int `json:"userid"` //用户id
UserName string `json:"username"` //用户名称
UserEmail string `json:"email"` //用户邮箱
UserMobile string `json:"mobile"` //用户电话
ExpiresAt time.Time `json:"expire"` //Token的TTL,即有效期。
IssuedAt time.Time `json:"issuedat"` //Token签发时间
Issuer string `json:"issuer"` //Token制作者
Subject string `json:"subject"` //Token应用的项目
TokenID string `json:"tokenid"` //TokenID,主要作用是校验前端提交的token是否真实,防止token泄露而带来的安全风险。
func CreateToken(gtoken *Gtoken,key []byte) (string)
创建token,其中key是16位或24位或32位的字符切片,返回BASE64字串。
func CheckToken(encToken string, key []byte) (*Gtoken,int64,error)
校验token,主要用来检查前端提供的token是否真实有效。
返回参数
- 第一个, token本身的数据信息
- 第二个, 本token的TTL值(分钟),0表示已失效。
- 第三个, err
模块安装
go get github.com/guofusheng007/gtoken
模块引用
import (
"github.com/guofusheng007/gtoken"
)
基本信息
项目目录
# tree gtoken
gtoken
├── crypto.go //加解密模块
├── gtoken.go //token创建和校验
├── example //示例
│ ├── go
│ │ ├── go.mod
│ │ ├── go.sum
│ │ └── main.go //token生成与重签接口
│ └── react
│ ├── crypto.js //token解密模块
│ ├── index.js //react入口
│ ├── test-admin.js //login成功后进入的页面
│ ├── test-login.js //login,初始化token
│ ├── test-update.js //token重签模块,供每个程序调用。
│ └── test-read.js //业务数据,它会调用test-update.js来验证token
└── README.md
源码下载地址
git clone https://github.com/guofusheng007/gtoken.git
目标
- go与react分离交互示例
- 使用go开发jwt模块(加密、校验)
- 使用react前端对jwt进行校验、及刷新token
- 前后端同时具备token校验能力。
前后端jwt认证流程
- 前端用户录入正确的用户名称和密,提交给后端,后端收到后对数据进行验证,通过验证后产生初始token并通过headers返回给用户。
- 前端用户收到后端提交的token后保存在cookie中,供所有页面查看(主要是供token刷新页面使用)
- 其它页面在渲染生效前调用token刷新程序。
- token刷新程序从cookie查找token,若找不到,直接跳转到login让用户重新登录,重新生成初始化token
- 若找到token,但token的TTL已失效,则直接跳转到login让用户重新登录,重新生成初始化token。
- 若token的ttl值生效中,但TTL时间还很长,那不刷新token,让调用它的页面继续。
- 若token的ttl值小于或等于某个值(示例中为2分钟),则向后台申请重签token.
- 后端收到前端的token刷新申请时,对前端提供的token及tokenID进校验。此时后端toke刷新程序做如下识别
- 若收到的token密文件为’undefined’或null,则返回
{"info":"Token已过期,不能续签,请重新认证后产生新Token"} - 若收到的token密文正常,则对密文进行校验。
- 若密文中TTL值小于或等于0,则token已失效,返顺
{"info":"Token已过期,不能续签,请重新认证后产生新Token"} - 若用户提效的tokenid与token密文中的tokenid不一致,说明token已泄露或被伪造,拒绝重签token,返回
{"info":"用户提交的 TokenID 有误"} - 若token中的TTL值大于某个指定值(如2分钟),则暂时不用续签,返回如下
{"info":"Token TTL大于2分钟,暂时不需要续签"} - 若token中的TTL值小于或等于某个指定值(如2分钟),则允许重新续签Token。
将生成的新Token通过headers返回前端,并返回body信息。
{"info":"Token更新成功"}
- 若收到的token密文件为’undefined’或null,则返回
- 前端token刷新程序收到后端重新签发的token后更新旧token(写入cookie),调用页面继续。
提示:
- 如上验证过程,前端和后端对token的验证是重复的,是有必要,出于安全要求,防止其它用户跳过前端token刷新程序而直接采用curl等来拿到新token.
- 前端应用认证最长时间,取决于cookie和Token的两个TTL值,最小的TTL是前端最终有效的认证有效期,超过了就需通过login生新Token。
go后端
token生成及校验模块
crypto.go
//加解密方式
package gtoken
import (
"bytes"
"crypto/aes"
"crypto/cipher"
"encoding/base64"
"errors"
"strconv"
)
//----------------------------------------------------------------
//---------------------CBC模式-----------------------------------
//----------------------------------------------------------------
//注: 本方式的iv由key的前16字组成(而不是自动随机产生),并存储在密文的前16个字节
//填充数据至AES块大小
func pkcs5Padding(ciphertext []byte, blockSize int) []byte {
padding := blockSize - len(ciphertext)%blockSize
padtext := bytes.Repeat([]byte{
byte(padding)}, padding)
return append(ciphertext, padtext...)
}
//移除填充数据
func pkcs5UnPadding(origData []byte) []byte {
length := len(origData)
unpadding := int(origData[length-1])
return origData[:(length - unpadding)]
}
//加密
func EncryptCBC(txt string, key []byte,) (string, error) {
data := []byte(txt)
//key长度:必须是16,24,32
if len:= len(string(key));(len != 16) && (len != 24) && (len != 32) {
err := errors.New("KEY length must 16, 24, or 32,current len:" + strconv.Itoa(len))
return "",err
}
// 采用何种加解密算法,取决于key的长度。
// len(key) = 16,AES-128-GCM
// len(key) = 24,AES-256-GCM
// len(key) = 32,AES-512-GCM
block, err := aes.NewCipher(key) // 分组秘钥
if err != nil {
return "", err
}
blockSize := block.BlockSize() // 获取秘钥块的长度。此值是固定值:16
//blockSize := aes.BlockSize
data = pkcs5Padding(data, blockSize) // 补全码
//加密
blockMode := cipher.NewCBCEncrypter(block, key[:blockSize]) // 加密模式。IV值,直接取key的一部分即可。
encrypted := make([]byte, len(data)) // 创建数组
blockMode.CryptBlocks(encrypted, data) // 加密
return base64.StdEncoding.EncodeToString(encrypted), nil
}
//解密
func DecryptCBC(txt string, key []byte) (string, error) {
data,_ := base64.StdEncoding.DecodeString(txt)
//data := []byte(txt)
//key长度:必须是16,24,32
if len:= len(string(key));(len != 16) && (len != 24) && (len != 32) {
err := errors.New("KEY length must 16, 24, or 32,current len:" + strconv.Itoa(len))
return "",err
}
// 采用何种加解密算法,取决于key的长度。
// len(key) = 16,AES-128-GCM
// len(key) = 24,AES-256-GCM
// len(key) = 32,AES-512-GCM
block, err := aes.NewCipher(key) // 分组秘钥
if err != nil {
return "", err
}
blockSize := block.BlockSize() // 获取秘钥块的长度。此值是固定值:16
//blockSize := aes.BlockSize
//加密
blockMode := cipher.NewCBCDecrypter(block, key[:blockSize]) // 加密模式
decrypted := make([]byte, len(data)) // 创建数组
//fmt.Println("err1")
blockMode.CryptBlocks(decrypted, data) // 解密.该函数没有出错返回。
//fmt.Println("err2")
decrypted = pkcs5UnPadding(decrypted) // 去除补全码
return string(decrypted),nil
}
gtoken.go
package gtoken
import (
"encoding/json"
"math/rand"
"time"
)
type Gtoken struct {
UserID int `json:"userid"`
UserName string `json:"username"`
UserEmail string `json:"email"`
UserMobile string `json:"mobile"`
ExpiresAt time.Time `json:"expire"`
IssuedAt time.Time `json:"issuedat"`
Issuer string `json:"issuer"`
Subject string `json:"subject"`
TokenID string `json:"tokenid"` //动态随机字串,12个随机字母组成的字串,在校验token时识别客户端提交的token和tokenID是否一致。
}
//creae token encText
func CreateToken(gtoken *Gtoken,key []byte) (string){
token, _ := json.Marshal(gtoken)
enc,_ := EncryptCBC(string(token),key)
return enc
}
//解析token
//其中返回值int是token TTL过期时间(分钟),零时表示已过期。
func CheckToken(encToken string, key []byte) 
最低0.47元/天 解锁文章
扫一扫
529
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
