go语言的魔幻旅程34-jwt、oauth2鉴权实现

最新推荐文章于 2024-06-04 12:36:16 发布
最新推荐文章于 2024-06-04 12:36:16 发布
阅读量580 收藏
点赞数
分类专栏: go
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47978762/article/details/118367793
版权

两岸猿声啼不住,轻舟已过万重山

认证和授权是大部分的服务端系统都会涉及到的一个功能模块,特别是在一些大型的企业中,由于系统的数量众多,不可能登录任何一个系统都需要相关人员逐个的输入系统的用户名和密码,在这样的情形下,如何实现一次登录,多系统自动登录或者一次授权后续自动登录的问题成为一个迫切需要解决的问题。

基于jwt的授权

在实战实现jwt授权方式之前,我们需要理解基于jwt的token认证机制,jwt机制生成的token由三部分组成:头部(header是生成签名的算法);有效载荷(payload包含一些特定的信息,如用户名或者token有效期等);签名(signature通过将前两部分的内容与一个秘钥合并和散列而生成)。

jwt格式:header.payload.signature

package main

import (
	"encoding/json"
	"fmt"
	"github.com/dgrijalva/jwt-go"
	"log"
	"net/http"
	"time"
)

//设置jwt的认证签名部分的key
var jwtKey = []byte("my_secret_key")

//模拟用户数据(一般从MySQL中读取)
var users = map[string]string {
	"user1": "password1",
	"user2": "password2",
}

//请求认证时的对应结构体
type Credentials struct {
	Password string `json:"password"`
	Username string `json:"username"`
}

//加密成jwt对应结构体
type Claims struct {
	Username string `json:"username"`
	jwt.StandardClaims
}

//登录校验
func Login(w http.ResponseWriter, r *http.Request) {
	var creds Credentials

	//解析请求的凭证是否合法
	err := json.NewDecoder(r.Body).Decode(&creds)
	if err != nil {
		w.WriteHeader(http.StatusBadRequest)
		return
	}

	//数据库存储的合法用户
	expectedPassword, ok := users[creds.Username]

	if !ok || expectedPassword != creds.Password {
		w.WriteHeader(http.StatusBadRequest)
		return
	}

	//认证通过的情况,刷新token有效期
	expirationTime := time.Now().Add(time.Minute * 5)

	//将相关信息写入jwt认证结构体中
	claims := Claims{
		Username: creds.Username,
		StandardClaims: jwt.StandardClaims{
			ExpiresAt: expirationTime.Unix(),
		},
	}

	//生成token
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	tokenString, err := token.SignedString(jwtKey)
	if err != nil {
		w.WriteHeader(http.StatusInternalServerError)
		return
	}

	//将生成的token存入客户端(cookie或者localStore)
	http.SetCookie(w, &http.Cookie{
		Name: "token",
		Value: tokenString,
		Expires: expirationTime,
	})
}

//后续请求token校验
func Verify (w http.ResponseWriter, r *http.Request) {
	//从cookie中获取token
	c, err := r.Cookie("token")
	if err != nil {
		//cookie不存在的情况
		if err == http.ErrNoCookie {
			w.WriteHeader(http.StatusUnauthorized)
			return
		}

		//其他情况
		w.WriteHeader(http.StatusBadRequest)
		return
	}

	//获取cookie中的token值
	tknStr := c.Value
	claims := &Claims{}

	//校验从cookie中获取的token是否发生变化
	tkn, err := jwt.ParseWithClaims(tknStr, claims, func(token *jwt.Token) (interface{}, error) {
		return jwtKey, nil
	})

	if err != nil {
		if err == jwt.ErrSignatureInvalid {
			w.WriteHeader(http.StatusUnauthorized)
			return
		}

		w.WriteHeader(http.StatusBadRequest)
		return
	}

	if !tkn.Valid {
		w.WriteHeader(http.StatusUnauthorized)
		return
	}
	w.Write([]byte(fmt.Sprintf("Welcome %s!", claims.Username)))
}

//刷新token的有效期
func Refresh (w http.ResponseWriter, r *http.Request) {
	//获取cookie中的token
	c, err := r.Cookie("token")
	if err != nil {
		if err == http.ErrNoCookie {
			w.WriteHeader(http.StatusUnauthorized)
			return
		}
		w.WriteHeader(http.StatusBadRequest)
		return
	}

	//构建token
	tknStr := c.Value
	claims := &Claims{}

	tkn, err := jwt.ParseWithClaims(tknStr, claims, func(token *jwt.Token) (interface{}, error) {
		return jwtKey, nil
	})

	if err != nil {
		if err == jwt.ErrSignatureInvalid {
			w.WriteHeader(http.StatusUnauthorized)
			return
		}

		w.WriteHeader(http.StatusBadRequest)
		return
	}

	if !tkn.Valid {
		w.WriteHeader(http.StatusUnauthorized)
		return
	}

	//token认证通过, 并且token有效期少于30秒才会刷新token
	if time.Unix(claims.ExpiresAt, 0).Sub(time.Now()) > 30*time.Second {
		w.WriteHeader(http.StatusBadRequest)
		return
	}

	expirationTime := time.Now().Add(time.Minute * 5)
	claims.ExpiresAt = expirationTime.Unix()
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	tokenStr, err := token.SignedString(jwtKey)
	if err != nil {
		w.WriteHeader(http.StatusInternalServerError)
		return
	}

	//更新cookie的有效期时间
	http.SetCookie(w, &http.Cookie{
		Name: "token",
		Value: tokenStr,
		Expires: expirationTime,
	})
}

func main() {
	http.HandleFunc("/login", Login)
	http.HandleFunc("/verify", Verify)
	http.HandleFunc("/refresh", Refresh)
	log.Fatal(http.ListenAndServe(":9000", nil))
}

基于oauth2的授权

在实现oauth2之前,我们同样需要理解oauth2的相关概念:资源所有者(resource owner)、资源服务器(resource server)、客户端(client)、authorization server(认证服务器)、用户代理(user-agent)。

资源所有者:资源的拥有者
资源服务器:服务提供商存放用户资源的服务器
客户端:需要得到资源的用户程序
认证服务器:服务商专门用来处理认证的服务器
用户代理:用户访问客户端的程序,例如浏览器

登录流程:
1、用户在第三方应用上点击登录,应用向认证服务器发送请求,说有用户希望进行授权操作,同时说明自己是谁、用户授权完成后的回调url

2、认证服务器展示给用户自己的授权界面

3、用户进行授权操作,认证服务器验证成功后,生成一个授权编码code,并跳转到第三方的回调url

4、第三方应用拿到code后,连同自己在平台上的身份信息(ID密码)发送给认证服务器,再一次进行验证请求,说明自己的身份正确,并且用户也已经授权我了,来换取访问用户资源的权限

5、认证服务器对请求信息进行验证,如果没问题,就生成访问资源服务器的令牌access_token,交给第三方应用

6、第三方应用使用access_token向资源服务器请求资源

7、资源服务器验证access_token成功后返回响应资源

以下展示一个通过github授权的oauth2案例

前端登录授权页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>index</title>
</head>
<body>
    <a href="https://github.com/login/oauth/authorize?client_id=49a31a8522020ac9ae05&redirect_uri=http://localhost:8080/oauth/redirect">
        Login with github
    </a>
</body>
</html>

服务端代码处理逻辑

//oauth2.go
package main

import (
	"encoding/json"
	"fmt"
	"log"
	"net/http"
)

//认证中心的注册信息
//github注册应用的地址:https://github.com/settings/applications/new

const (
	clientID = "xxx"
	clientSecret = "yyy"
)

var httpClient = http.Client{}

type OAuthAccessResponse struct {
	AccessToken string `json:"access_token"`
}

func HandleOauthRedirect(w http.ResponseWriter, r *http.Request) {
	err := r.ParseForm()
	if err != nil {
		log.Printf("could not parse query: %v", err)
		w.WriteHeader(http.StatusBadRequest)
	}

	code := r.FormValue("code")

	//通过clientID、clientSecret、code获取授权秘钥
	reqURL := fmt.Sprintf("https://github.com/login/oauth/access_token?client_id=%s&client_secret=%s&code=%s", clientID, clientSecret, code)

	req, err := http.NewRequest(http.MethodPost, reqURL, nil)
	if err != nil {
		log.Printf("could not create HTTP request: %v", err)
		w.WriteHeader(http.StatusBadRequest)
	}

	//设置返回的格式为json格式
	req.Header.Set("accept", "application/json")

	//发送http请求
	res, err := httpClient.Do(req)
	if err != nil {
		log.Printf("could not send HTTP request: %v", err)
		w.WriteHeader(http.StatusInternalServerError)
	}
	defer res.Body.Close()

	//解析结果
	var t OAuthAccessResponse
	if err := json.NewDecoder(res.Body).Decode(&t); err != nil {
		log.Printf("could not parse JSON response: %v", err)
		w.WriteHeader(http.StatusBadRequest)
	}

	w.Header().Set("Location", "/welcome.html?access_token="+t.AccessToken)
	w.WriteHeader(http.StatusFound)
}

func main() {
	fs := http.FileServer(http.Dir("./jwt"))
	http.Handle("/", fs)
	http.HandleFunc("/oauth/redirect", HandleOauthRedirect)
	http.ListenAndServe(":8080", nil)
}

认证通过后数据请求处理页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>welcome</title>
</head>
<body>

</body>
<script>
    // 获取access_token
    const query = window.location.search.substring(1)
    const token = query.split('access_token=')[1]

    fetch('https://api.github.com/user', {
        headers: {
            // 将token放在Header中
            Authorization: 'token ' + token
        }
    })
    .then(res => res.json())
    .then(res => {
        const nameNode = document.createTextNode(`Welcome, ${res.name}`)
        document.body.appendChild(nameNode)
    })
</script>
</html>

小结

这篇文章主要讲解了基于go的JWT、OAuth2授权方案的实现, 只要理解了相关的概念,实现起来应该不是很困难,希望能够帮助到需要的人。

参考资料1:https://blog.csdn.net/neweastsun/article/details/105919915
参考资料2:https://razeencheng.com/post/oauth2-protocol-details.html

饱腹百科
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
auth:了解在Golang中设置身份验证的基础知识
02-06
golang认证 要启动此应用,请按顺序执行以下步骤 将此仓库克隆到您的计算机 进入项目文件夹 输入go run main.go以启动服务器
GO微服务实战第二十六节 如何设计基于 OAuth2 和 JWT 的认证与授权服务体系
fegus的博客
08-24 780
在上一课时中,我们介绍了在微服务架构中存在的一些必要性和挑战,并介绍了 3 种主流的统一认证与授权方案,包括 OAuth2、分布式 Session 和 JWT。在本课时,我们将基于 OAuth2 和 JWT 设计一个认证与授权服务,让其。微服务架构的演进使得服务体系变得分散,如果让每个微服务独立管理自身的用户信息容易造成信息隔离,阻碍应用的发展,因此将分散的认证和授权进行统一管理显得尤为必要。
实战指南:Go语言中的OAuth2认证
最新发布
繁依Fanyi的博客
06-04 1084
在网络应用程序开发中,安全性和用户身份验证是至关重要的方面。OAuth2(开放授权2.0)是一种广泛应用于网络身份验证和授权的标准协议。它允许客户端应用程序以安全且受控的方式访问受保护资源,而无需用户提供其凭据。
基于go-oauth2/oauth2实现OAuth 2.0 授权码方式
蜗牛^_^的博客
01-20 9396
前言 本文基于go-oauth2/oauth2,参考go-oauth2/oauth2/example、go-oauth2/gin-server、llaoj/oauth2,结合beego框架实现OAuth 2.0授权码方式。 介绍 OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某网站上存储的资源(如邮箱、手机、头像等),而无需将用户名和密码提供给第三方应用。 OAuth2.0规定了四种授权方式,授权码、隐藏式、密码式、客户端凭证。本文主要讲解授权码方式的实现。可参考OAuth 2.0
用Golang写一个OAuth2服务端
mujingluo的博客
04-04 909
/ 在 MySQL 中创建表结构`)if err!= nil {
go gitea OAuth2 登录
飞剑神
08-16 2270
go gitea OAuth2 登录 关于oauth2网络介绍的已经很多了,咱简单的说说,如何go代码进行访问oauth2登录,详细的可以看源码嘛. gitea文档网址: https://docs.gitea.io/en-us/oauth2-provider/ 授权端点 /login/oauth/authorize 访问令牌端点 /login/oauth/access_token 通过get请求 https://[YOUR-GITEA-URL]/login/oauth/authorize?client_i
spring-boot-2-oauth2-resource-jwt:Spring Boot 2 OAuth2 JWT资源服务器实现,在令牌和自定义主体中具有自定义详细信息
05-19
《Spring Boot 2 OAuth2 JWT资源服务器实现详解》 在当今的Web开发中,安全性和权限控制是不可或缺的重要环节。Spring Boot作为Java生态系统中的主流框架,提供了强大的安全支持。本篇文章将深入探讨如何使用Spring...
spring-boot-2-oauth2-authorization-jwt:带有用户和客户端数据库(JPA,Hibernate,MySQL)的Spring Boot 2 OAuth2 JWT授权服务器实现
02-03
Spring Boot 2 OAuth2 JWT授权服务器 链接到项目 关于如何使用Spring Boot 2 , JPA , Hibernate和MySQL使用JWT令牌设置OAuth2授权服务器的简单项目。 简而言之 所有和客户端都存储在数据库中。 可以具有许多与之相...
springboot-oauth2-jwt-example:通过JWT令牌学习Oauth2
05-03
在本文中,我们将深入探讨如何使用Spring Boot、OAuth2和JWT(JSON Web Token)来创建一个安全的身份验证和授权系统。这个项目名为“springboot-oauth2-jwt-example”,它是一个示例应用,旨在帮助开发者了解如何将...
Shiro + Java-JWT无状态鉴权认证机制
07-30
本文将深入探讨如何在SpringBoot项目中结合Apache Shiro和Java JSON Web Tokens (JWT) 实现无状态的鉴权认证机制。我们将围绕SpringBoot、Mybatis、PageHelper、通用Mapper以及Redis(Jedis)缓存框架展开讨论,阐述...
security-oauth2-jwt-server.zip
09-04
第三方登录源码,认证授权与资源服务源码,个人项目分享,开箱简单配置即可使用,因为作为demo发布,所以认证和资源在同一个服务,如果需要分开服务,则只需要把ResServerConfig类单独...引入Oauth2Constant配置即可。
OAuth2-Go:使用Go的OAuth2示例应用
05-17
OAuth2-Go示例应用 已使用Go编程语言编写了此OAuth 2.0示例应用程序,以提供OAuth 2.0概念的有效示例以及如何与Intuit端点集成。 目录 要求 为了成功运行此示例应用程序,您需要做一些事情: 去安装 一个帐户 上的应用程序以及关联的客户端ID和客户端密钥。 首次使用说明 go get -d github.com/IntuitDeveloper/OAuth2-Go 通过从应用程序的键部分复制来填充config.json文件值(clientId,clientSecret)。 运行代码 一旦示例应用程序代码在您的计算机上,您就可以执行以下步骤来运行该应用程序: 使用以下命令安装示例cd $GOPATH/src/github.com/IntuitDeveloper/OAuth2-Go go install 使用下面的两个命令之一运行示例$GOPATH/bin/O
go-oauth2-server:使用Golang编写的独立的,符合规范的OAuth2服务器
02-02
转到OAuth2服务器 该服务实现。 该规范的摘录包含在此README文件中,以描述不同的授予类型。 请阅读完整规格以获得更多详细信息。 OAuth 2.0 客户端认证 向/v1/oauth/tokens端点发出请求时,客户端必须使用客户端凭据(客户端ID和密码)进行身份验证。 应该使用基本的HTTP身份验证。 赠款类型 授权码 授权码授予类型用于获取访问令牌和刷新令牌,并且已针对机密客户端进行了优化。 由于这是基于重定向的流程,因此客户端必须能够与资源所有者的用户代理(通常是Web浏览器)进行交互,并且能够(通过重定向)接收来自授权服务器的传入请求。 +----------+ | Resource | | Owner | | | +----------+ ^ | (B) +----|-----+ Client Identifier +---------------+ | -+----(A)-- & Redirection URI ---->| | | U
oauth2-example:Go的一个简单Oauth2示例
02-03
Oauth2-使用Go的示例 身份验证是任何应用程序中最常见的部分。 您可以实现自己的身份验证系统,也可以使用现有的许多替代方法之一,但是在这种情况下,我们将使用OAuth2。 OAuth是一项规范,允许用户委派访问其数据的权限,而无需与该服务共享用户名和密码,如果您想了解有关Oauth2的更多信息,请访问。 配置Google Project 首先,我们需要创建我们的Google Project并创建OAuth2凭据。 转到Google Cloud Platform 创建一个新项目,或者如果已有的话选择一个。 转到凭据,然后选择“ OAuth客户端ID”以创建一个新凭据 添加“授权重定向URL”,例如localhost:8000/auth/google/callback 复制client_id和客户密码 OAuth2如何与Google配合使用 授权顺序从您的应用程序将浏览器重定向到Google URL时开始; 该URL包含指示所请求访问类型的查询参数。 Google处理用户身份验证,会话选择和用户同意。 结果是授权码,应用程序可以将其授权给交换代码以获取访问令牌和刷新令牌。
Go语言的API安全: OAuth2与JWT
禅与计算机程序设计艺术
01-18 1206
1.背景介绍 在当今的互联网时代,API(应用程序接口)已经成为了应用程序之间的通信和数据共享的重要工具。然而,API安全也是一个重要的问题,因为不安全的API可能导致数据泄露、伪造和其他安全风险。为了解决这个问题,我们需要一种安全的方法来保护API,这就是OAuth2和JWT(JSON Web Token)的诞生。 OAuth2是一种授权代理协议,它允许用户授权第三方应用程序访问他们的资源,...
golang OAuth2服务端及客户端编写示例
U.R.M.L
05-11 617
【代码】golang OAuth2服务端及客户端编写示例。
从Java到Go:使用Go语言实现OAuth2和JWT身份验证和授权服务
sybh的博客
06-07 336
在许多现代Web应用程序和API中,身份验证和授权是至关重要的组件。使用OAuth2协议和JWT,我们可以实现一个强大、灵活且安全的身份验证和授权服务。在本文中,我们将首先了解OAuth2和JWT的基本概念,然后逐步实现一个完整的身份验证和授权服务。OAuth2是一个开放的授权协议,用于允许用户授权第三方应用访问其受保护的资源,而无需共享凭据。授权码模式(Authorization Code)隐藏式模式(Implicit)
在CSDN学Golang场景化解决方案(OAuth2.0授权登录)
YKM_2580的博客
07-29 1145
OAuth2.0 定义了四种授权方式,即授权码(Authorization Code)、隐藏式(Implicit)、密码式(Resource Owner Password Credentials)和客户端凭证(Client Credentials)。OAuth 2.0 是一种用于授权的开放标准,可以让用户授权第三方应用程序访问他们存储在另一个服务提供商上的资源,例如图片、文本等。这就是 OAuth 2.0 协议的流程,可以帮助第三方应用程序安全地访问用户存储在其他服务提供商上的资源。
GO 聊天IM系统(一)整合jwt实现系统的登录和鉴权功能
weixin_49260963的博客
01-15 603
GO 聊天IM系统(一)整合jet实现系统的登录和鉴权功能
oauth2-jwt-server
04-30
OAuth2-JWT-Server是一个基于OAuth2.0和JSON Web Tokens(JWTs)的认证和授权解决方案。它提供了一种可扩展的方式来管理和保护API,允许定义用于访问API的权限范围和角色。OAuth2-JWT-Server授权服务器允许应用程序通过使用JWTs从授权服务器获取访问令牌,以便在API端点上执行授权操作。 JWTs是一种带有签名的JSON格式的令牌,用于身份验证和授权目的。JWT允许使用者验证其身份并获取访问令牌,无需引入cookies或其他状态。JWTs使应用程序和服务之间的授权过程更为安全,而且不需要存储和管理长期的访问令牌。 OAuth2-JWT-Server不仅提供了强大的认证授权机制,还提供了易于使用的API端点来管理应用程序和用户的访问权限。此外,它为用户登录提供了多个身份验证策略,例如基于用户名和密码的身份验证,以及支持OAuth 2.0的授权码流程。 总之,OAuth2-JWT-Server提供了一种安全,高效的解决方案,通过它,开发人员可以轻松地保护API,并授予访问权限,在保护API的同时,保持简单的配置和管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值