go语言的魔幻旅程34-jwt、oauth2鉴权实现

最新推荐文章于 2024-06-04 12:36:16 发布
最新推荐文章于 2024-06-04 12:36:16 发布
阅读量578 收藏
点赞数
分类专栏: go
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47978762/article/details/118367793
版权

两岸猿声啼不住,轻舟已过万重山

认证和授权是大部分的服务端系统都会涉及到的一个功能模块,特别是在一些大型的企业中,由于系统的数量众多,不可能登录任何一个系统都需要相关人员逐个的输入系统的用户名和密码,在这样的情形下,如何实现一次登录,多系统自动登录或者一次授权后续自动登录的问题成为一个迫切需要解决的问题。

基于jwt的授权

在实战实现jwt授权方式之前,我们需要理解基于jwt的token认证机制,jwt机制生成的token由三部分组成:头部(header是生成签名的算法);有效载荷(payload包含一些特定的信息,如用户名或者token有效期等);签名(signature通过将前两部分的内容与一个秘钥合并和散列而生成)。

jwt格式:header.payload.signature

package main

import (
	"encoding/json"
	"fmt"
	"github.com/dgrijalva/jwt-go"
	"log"
	"net/http"
	"time"
)

//设置jwt的认证签名部分的key
var jwtKey = []byte("my_secret_key")

//模拟用户数据(一般从MySQL中读取)
var users = map[string]string {
	"user1": "password1",
	"user2": "password2",
}

//请求认证时的对应结构体
type Credentials struct {
	Password string `json:"password"`
	Username string `json:"username"`
}

//加密成jwt对应结构体
type Claims struct {
	Username string `json:"username"`
	jwt.StandardClaims
}

//登录校验
func Login(w http.ResponseWriter, r *http.Request) {
	var creds Credentials

	//解析请求的凭证是否合法
	err := json.NewDecoder(r.Body).Decode(&creds)
	if err != nil {
		w.WriteHeader(http.StatusBadRequest)
		return
	}

	//数据库存储的合法用户
	expectedPassword, ok := users[creds.Username]

	if !ok || expectedPassword != creds.Password {
		w.WriteHeader(http.StatusBadRequest)
		return
	}

	//认证通过的情况,刷新token有效期
	expirationTime := time.Now().Add(time.Minute * 5)

	//将相关信息写入jwt认证结构体中
	claims := Claims{
		Username: creds.Username,
		StandardClaims: jwt.StandardClaims{
			ExpiresAt: expirationTime.Unix(),
		},
	}

	//生成token
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	tokenString, err := token.SignedString(jwtKey)
	if err != nil {
		w.WriteHeader(http.StatusInternalServerError)
		return
	}

	//将生成的token存入客户端(cookie或者localStore)
	http.SetCookie(w, &http.Cookie{
		Name: "token",
		Value: tokenString,
		Expires: expirationTime,
	})
}

//后续请求token校验
func Verify (w http.ResponseWriter, r *http.Request) {
	//从cookie中获取token
	c, err := r.Cookie("token")
	if err != nil {
		//cookie不存在的情况
		if err == http.ErrNoCookie {
			w.WriteHeader(http.StatusUnauthorized)
			return
		}

		//其他情况
		w.WriteHeader(http.StatusBadRequest)
		return
	}

	//获取cookie中的token值
	tknStr := c.Value
	claims := &Claims{}

	//校验从cookie中获取的token是否发生变化
	tkn, err := jwt.ParseWithClaims(tknStr, claims, func(token *jwt.Token) (interface{}, error) {
		return jwtKey, nil
	})

	if err != nil {
		if err == jwt.ErrSignatureInvalid {
			w.WriteHeader(http.StatusUnauthorized)
			return
		}

		w.WriteHeader(http.StatusBadRequest)
		return
	}

	if !tkn.Valid {
		w.WriteHeader(http.StatusUnauthorized)
		return
	}
	w.Write([]byte(fmt.Sprintf("Welcome %s!", claims.Username)))
}

//刷新token的有效期
func Refresh (w http.ResponseWriter, r *http.Request) {
	//获取cookie中的token
	c, err := r.Cookie("token")
	if err != nil {
		if err == http.ErrNoCookie {
			w.WriteHeader(http.StatusUnauthorized)
			return
		}
		w.WriteHeader(http.StatusBadRequest)
		return
	}

	//构建token
	tknStr := c.Value
	claims := &Claims{}

	tkn, err := jwt.ParseWithClaims(tknStr, claims, func(token *jwt.Token) (interface{}, error) {
		return jwtKey, nil
	})

	if err != nil {
		if err == jwt.ErrSignatureInvalid {
			w.WriteHeader(http.StatusUnauthorized)
			return
		}

		w.WriteHeader(http.StatusBadRequest)
		return
	}

	if !tkn.Valid {
		w.WriteHeader(http.StatusUnauthorized)
		return
	}

	//token认证通过, 并且token有效期少于30秒才会刷新token
	if time.Unix(claims.ExpiresAt, 0).Sub(time.Now()) > 30*time.Second {
		w.WriteHeader(http.StatusBadRequest)
		return
	}

	expirationTime := time.Now().Add(time.Minute * 5)
	claims.ExpiresAt = expirationTime.Unix()
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	tokenStr, err := token.SignedString(jwtKey)
	if err != nil {
		w.WriteHeader(http.StatusInternalServerError)
		return
	}

	//更新cookie的有效期时间
	http.SetCookie(w, &http.Cookie{
		Name: "token",
		Value: tokenStr,
		Expires: expirationTime,
	})
}

func main() {
	http.HandleFunc("/login", Login)
	http.HandleFunc("/verify", Verify)
	http.HandleFunc("/refresh", Refresh)
	log.Fatal(http.ListenAndServe(":9000", nil))
}

基于oauth2的授权

在实现oauth2之前,我们同样需要理解oauth2的相关概念:资源所有者(resource owner)、资源服务器(resource server)、客户端(client)、authorization server(认证服务器)、用户代理(user-agent)。

资源所有者:资源的拥有者
资源服务器:服务提供商存放用户资源的服务器
客户端:需要得到资源的用户程序
认证服务器:服务商专门用来处理认证的服务器
用户代理:用户访问客户端的程序,例如浏览器

登录流程:
1、用户在第三方应用上点击登录,应用向认证服务器发送请求,说有用户希望进行授权操作,同时说明自己是谁、用户授权完成后的回调url

2、认证服务器展示给用户自己的授权界面

3、用户进行授权操作,认证服务器验证成功后,生成一个授权编码code,并跳转到第三方的回调url

4、第三方应用拿到code后,连同自己在平台上的身份信息(ID密码)发送给认证服务器,再一次进行验证请求,说明自己的身份正确,并且用户也已经授权我了,来换取访问用户资源的权限

5、认证服务器对请求信息进行验证,如果没问题,就生成访问资源服务器的令牌access_token,交给第三方应用

6、第三方应用使用access_token向资源服务器请求资源

7、资源服务器验证access_token成功后返回响应资源

以下展示一个通过github授权的oauth2案例

前端登录授权页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>index</title>
</head>
<body>
    <a href="https://github.com/login/oauth/authorize?client_id=49a31a8522020ac9ae05&redirect_uri=http://localhost:8080/oauth/redirect">
        Login with github
    </a>
</body>
</html>

服务端代码处理逻辑

//oauth2.go
package main

import (
	"encoding/json"
	"fmt"
	"log"
	"net/http"
)

//认证中心的注册信息
//github注册应用的地址:https://github.com/settings/applications/new

const (
	clientID = "xxx"
	clientSecret = "yyy"
)

var httpClient = http.Client{}

type OAuthAccessResponse struct {
	AccessToken string `json:"access_token"`
}

func HandleOauthRedirect(w http.ResponseWriter, r *http.Request) {
	err := r.ParseForm()
	if err != nil {
		log.Printf("could not parse query: %v", err)
		w.WriteHeader(http.StatusBadRequest)
	}

	code := r.FormValue("code")

	//通过clientID、clientSecret、code获取授权秘钥
	reqURL := fmt.Sprintf("https://github.com/login/oauth/access_token?client_id=%s&client_secret=%s&code=%s", clientID, clientSecret, code)

	req, err := http.NewRequest(http.MethodPost, reqURL, nil)
	if err != nil {
		log.Printf("could not create HTTP request: %v", err)
		w.WriteHeader(http.StatusBadRequest)
	}

	//设置返回的格式为json格式
	req.Header.Set("accept", "application/json")

	//发送http请求
	res, err := httpClient.Do(req)
	if err != nil {
		log.Printf("could not send HTTP request: %v", err)
		w.WriteHeader(http.StatusInternalServerError)
	}
	defer res.Body.Close()

	//解析结果
	var t OAuthAccessResponse
	if err := json.NewDecoder(res.Body).Decode(&t); err != nil {
		log.Printf("could not parse JSON response: %v", err)
		w.WriteHeader(http.StatusBadRequest)
	}

	w.Header().Set("Location", "/welcome.html?access_token="+t.AccessToken)
	w.WriteHeader(http.StatusFound)
}

func main() {
	fs := http.FileServer(http.Dir("./jwt"))
	http.Handle("/", fs)
	http.HandleFunc("/oauth/redirect", HandleOauthRedirect)
	http.ListenAndServe(":8080", nil)
}

认证通过后数据请求处理页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>welcome</title>
</head>
<body>

</body>
<script>
    // 获取access_token
    const query = window.location.search.substring(1)
    const token = query.split('access_token=')[1]

    fetch('https://api.github.com/user', {
        headers: {
            // 将token放在Header中
            Authorization: 'token ' + token
        }
    })
    .then(res => res.json())
    .then(res => {
        const nameNode = document.createTextNode(`Welcome, ${res.name}`)
        document.body.appendChild(nameNode)
    })
</script>
</html>

小结

这篇文章主要讲解了基于go的JWT、OAuth2授权方案的实现, 只要理解了相关的概念,实现起来应该不是很困难,希望能够帮助到需要的人。

参考资料1:https://blog.csdn.net/neweastsun/article/details/105919915
参考资料2:https://razeencheng.com/post/oauth2-protocol-details.html

饱腹百科
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GO 聊天IM系统(一)整合jwt实现系统的登录和鉴权功能
weixin_49260963的博客
01-15 594
GO 聊天IM系统(一)整合jet实现系统的登录和鉴权功能
spring-boot-2-oauth2-resource-jwt:Spring Boot 2 OAuth2 JWT资源服务器实现,在令牌和自定义主体中具有自定义详细信息
05-19
《Spring Boot 2 OAuth2 JWT资源服务器实现详解》 在当今的Web开发中,安全性和权限控制是不可或缺的重要环节。Spring Boot作为Java生态系统中的主流框架,提供了强大的安全支持。本篇文章将深入探讨如何使用Spring...
GO微服务实战第二十六节 如何设计基于 OAuth2 和 JWT 的认证与授权服务体系
fegus的博客
08-24 774
在上一课时中,我们介绍了在微服务架构中存在的一些必要性和挑战,并介绍了 3 种主流的统一认证与授权方案,包括 OAuth2、分布式 Session 和 JWT。在本课时,我们将基于 OAuth2 和 JWT 设计一个认证与授权服务,让其。微服务架构的演进使得服务体系变得分散,如果让每个微服务独立管理自身的用户信息容易造成信息隔离,阻碍应用的发展,因此将分散的认证和授权进行统一管理显得尤为必要。
auth:了解在Golang中设置身份验证的基础知识
02-06
golang认证 要启动此应用,请按顺序执行以下步骤 将此仓库克隆到您的计算机 进入项目文件夹 输入go run main.go以启动服务器
实战指南:Go语言中的OAuth2认证
最新发布
繁依Fanyi的博客
06-04 1017
在网络应用程序开发中,安全性和用户身份验证是至关重要的方面。OAuth2(开放授权2.0)是一种广泛应用于网络身份验证和授权的标准协议。它允许客户端应用程序以安全且受控的方式访问受保护资源,而无需用户提供其凭据。
用Golang写一个OAuth2服务端
mujingluo的博客
04-04 892
/ 在 MySQL 中创建表结构`)if err!= nil {
Go语言的API安全: OAuth2与JWT
禅与计算机程序设计艺术
01-18 1197
1.背景介绍 在当今的互联网时代,API(应用程序接口)已经成为了应用程序之间的通信和数据共享的重要工具。然而,API安全也是一个重要的问题,因为不安全的API可能导致数据泄露、伪造和其他安全风险。为了解决这个问题,我们需要一种安全的方法来保护API,这就是OAuth2和JWT(JSON Web Token)的诞生。 OAuth2是一种授权代理协议,它允许用户授权第三方应用程序访问他们的资源,...
spring-boot-2-oauth2-authorization-jwt:带有用户和客户端数据库(JPA,Hibernate,MySQL)的Spring Boot 2 OAuth2 JWT授权服务器实现
02-03
Spring Boot 2 OAuth2 JWT授权服务器 链接到项目 关于如何使用Spring Boot 2 , JPA , Hibernate和MySQL使用JWT令牌设置OAuth2授权服务器的简单项目。 简而言之 所有和客户端都存储在数据库中。 可以具有许多与之相...
springboot-oauth2-jwt-example:通过JWT令牌学习Oauth2
05-03
在本文中,我们将深入探讨如何使用Spring Boot、OAuth2和JWT(JSON Web Token)来创建一个安全的身份验证和授权系统。这个项目名为“springboot-oauth2-jwt-example”,它是一个示例应用,旨在帮助开发者了解如何将...
Shiro + Java-JWT无状态鉴权认证机制
07-30
本文将深入探讨如何在SpringBoot项目中结合Apache Shiro和Java JSON Web Tokens (JWT) 实现无状态的鉴权认证机制。我们将围绕SpringBoot、Mybatis、PageHelper、通用Mapper以及Redis(Jedis)缓存框架展开讨论,阐述...
security-oauth2-jwt-server.zip
09-04
第三方登录源码,认证授权与资源服务源码,个人项目分享,开箱简单配置即可使用,因为作为demo发布,所以认证和资源在同一个服务,如果需要分开服务,则只需要把ResServerConfig类单独...引入Oauth2Constant配置即可。
oauth2-example:Go的一个简单Oauth2示例
02-03
Oauth2-使用Go的示例 身份验证是任何应用程序中最常见的部分。 您可以实现自己的身份验证系统,也可以使用现有的许多替代方法之一,但是在这种情况下,我们将使用OAuth2。 OAuth是一项规范,允许用户委派访问其数据的权限,而无需与该服务共享用户名和密码,如果您想了解有关Oauth2的更多信息,请访问。 配置Google Project 首先,我们需要创建我们的Google Project并创建OAuth2凭据。 转到Google Cloud Platform 创建一个新项目,或者如果已有的话选择一个。 转到凭据,然后选择“ OAuth客户端ID”以创建一个新凭据 添加“授权重定向URL”,例如localhost:8000/auth/google/callback 复制client_id和客户密码 OAuth2如何与Google配合使用 授权顺序从您的应用程序将浏览器重定向到Google URL时开始; 该URL包含指示所请求访问类型的查询参数。 Google处理用户身份验证,会话选择和用户同意。 结果是授权码,应用程序可以将其授权给交换代码以获取访问令牌和刷新令牌。
Golang中使用 JWT认证来 保障Restful JSON API的安全(英文) - 推酷
11-22
Golang中使用 JWT认证来 保障Restful JSON API的安全(英文) - 推酷
进入OAuth2-Golang开发
05-26
用于OAuth2的OAuth2软件包包含OAuth 2.0规范的客户端实现。 安装可进入golang.org/x/oauth2或手动将存储库git克隆到$(go env GOPATH)/src/golang.org/x/oauth2。 用于OAuth2的OAuth2软件包包含OAuth 2.0规范的客户端实现。 安装可进入golang.org/x/oauth2或手动将存储库git克隆到$(go env GOPATH)/src/golang.org/x/oauth2。 有关更多文档和示例,请参见godoc。 godoc.org/golang.org/x/oauth2 godoc.org/golang.org/x/oauth2/google新软件包政策如果此仓库中的所有工作只是添加一个端点变量,我们将不再接受新的特定于提供商的软件包。 如果您只想做广告
go token验证_go|使用jwt添加接口认证
weixin_39968309的博客
12-27 442
JSON Web Tokens (JWT) 是用来对API接口添加认证的方式之一,它作为令牌系统工作,而不是为每个请求发送用户名和密码,数据经过数字签名,因此可以被验证和信任。我们可以使用RSA或ECDSA的公用或专用秘钥对JWT进行签名Token可以存在Header、Query Param、cookie或session中,最常见的是存储在Header中。服务器端提供一个获取JWT令牌的接口方法,...
基于go-oauth2的sso服务
qq_38384460的博客
06-29 1817
借鉴:https://www.bilibili.com/video/av328501573 1、oauth2流程简介 1、角色介绍 1、资源拥有方:用户user 2、资源方:例如微信 3、资源请求方:例如简书调用微信登录,简书就是请求方 4、授权方:oauth2,是一个独立的平台。我们要实现的地方 2、流程介绍 client:资源请求方,也就是简书 resource owner:资源拥有者,也就是用户 ...
OAuth2认证授权(OAuth2Client-OAuth2Server)问题
热门推荐
t0m的专栏
03-22 1万+
OAuth2客户端: spring-boot-starter-security:2.1.2.RELEASE spring-security-oauth2-client:5.1.3.RELEASE OAuth2认证服务: spring-security-oauth2-autoconfigure:2.1.2.RELEASE 具体代码就不一一贴出来了,自己下载看,如有操作姿势不对的地方请联系我...
Go语言的API安全与OAuth2
禅与计算机程序设计艺术
01-21 998
1.背景介绍 1. 背景介绍 API(Application Programming Interface)安全是在互联网时代,各种应用之间进行数据交互和资源共享的基础。随着微服务架构的普及,API安全成为了一项重要的技术问题。OAuth2是一种标准的授权协议,它允许用户授权第三方应用访问他们的资源,而无需揭露他们的凭证。Go语言作为一种现代编程语言,具有高性能、简洁的语法和强大的生态系统,在A...
[译] 在 GO 语言中创建你自己的 OAuth2 服务:客户端凭据授权流程
weixin_34032827的博客
02-28 1956
原文地址:Build your Own OAuth2 Server in Go: Client Credentials Grant Flow 原文作者:Cyan Tarek 译文出自:掘金翻译计划 本文永久链接:github.com/xitu/gold-m… 译者:shixi-li 校对者:JackEggie, LucaslEliane 嗨,在今天的文章中,我会向大家展示怎么构建属于每个...
oauth2-jwt-server
04-30
OAuth2-JWT-Server是一个基于OAuth2.0和JSON Web Tokens(JWTs)的认证和授权解决方案。它提供了一种可扩展的方式来管理和保护API,允许定义用于访问API的权限范围和角色。OAuth2-JWT-Server授权服务器允许应用程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值