golang之JWT与session

最新推荐文章于 2024-05-20 18:29:27 发布
最新推荐文章于 2024-05-20 18:29:27 发布
阅读量474 收藏
点赞数
文章标签: golang jwt session token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50134791/article/details/120654146
版权

文章目录


由于目前JWT在验证权限方面是主流,因此重点介绍JWT

session和JWT是干啥的?

由于http连接是无状态的,用户登录后,请求结束,立刻断开连接,登录状态并不会保留,用户想要进行操作,服务器就必须对用户进行权限验证,session和JWT的本质,都是服务器在收到用户登录请求的时候,颁发给客户端一个token(令牌)(其实就是一个字符串而已),这个令牌一定和userID有一一对应的关系,客户端下次发请求的时候,携带这个令牌,服务端通过对令牌进行验证,可以知道发请求的到底是哪一个用户。
session通过查token的映射表找到userID,jwt通过解密token找到userID。

session

session是一种以seesionID作为token,颁发给客户端的验证方式,缺点是服务器必须维护一张以sessionID作为key的表,每次客户端的请求都要查这张表

JWT

JWT有三个部分,头部,载荷和签名
示例:
eyJhbGciOiJSUzUxMiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2MzM3ODU4NjYsImlhdCI6MTYzMzY5OTQ2NiwiaXNzIjoiYXV0aCIsInN1YiI6IjYxNWQ0ODlmMjVlZWExZmVlOWVlNjFmYiJ9.JSOrJ46Ynm9JLesnTuiuLMaqLTqN1-VZVzUHi1FqpNnYJxQ9KbH70w08tpYFG8dMXOCRyuuPEUKQmA4STSQBytchU4fgzVv0ow4ItEIVT2Masr7jslCu8skLNdyfHp50chIyA9mPc9dyouQIZX3KJ3sItJ3PiDWG3AVf8J86_SK-VYfUgfEYfRkXbQ21kFOTNTh3_UVIN4X8Z_VuuxVScs2XkRglFDsIvOknqfBw4paQFeItbvU-sYeSbKPWzi1PLb2XCKHmRj3-2T3lMTvgKfQM8uTheEtWydS-64PKj0WXbC-3riLgCEgYX6Zsk1uqRrP_oKbIMZheJ8CRS1JXyQ这里的头部和载荷都是base64编码的,也就是不加密的,只有签名部分是加密的。
签名部分经常用的就是两种:
对称加密:HS256、HS512
非对称加密:RS256、RS512
这里的RS加密因为加密用私钥,解密用公钥,公钥泄漏也没问题,因此比HS的安全性更高。
HS加解密用一个公钥,不过如果对网站的安全性要求没那么高,使用公钥加解密也没什么问题
payload部分官方的字段如下,我们也可以自定义字段:
这里的exp字段是必须要设置的,否则token的过期时间将不可控,有极大的危险

iss (issuer):签发人
sub (subject):主题
aud (audience):受众
exp (expiration time):过期时间
nbf (Not Before):生效时间,在此之前是无效的
iat (Issued At):签发时间
jti (JWT ID):编号

JWT的演示网站:
jwt.io

JWT是需要生成密钥的,这里推荐一个RSA密钥生成网站:
https://cryptotools.net/

golang的JWT操作

使用的库为jwt-go

加密(签名)(生成token)部分

生成JWT的类:

package token

import (
	"crypto/rsa"
	"github.com/dgrijalva/jwt-go"
	"time"
)

type JWTTokenGen struct {
	privateKey *rsa.PrivateKey
	issuer string
	nowFunc func() time.Time
}

func NewJWTTokenGen(issuer string, privateKey *rsa.PrivateKey) *JWTTokenGen {
	return &JWTTokenGen{
		issuer:  issuer,
		nowFunc: time.Now,
		privateKey: privateKey,
	}
}

func (t *JWTTokenGen) GenerateToken(accountID string, expire time.Duration) (string,error){
	nowSec := t.nowFunc().Unix()
	tkn := jwt.NewWithClaims(jwt.SigningMethodRS512, jwt.StandardClaims{
		ExpiresAt: nowSec + int64(expire.Seconds()),
		IssuedAt:  nowSec,
		Issuer:    t.issuer,
		Subject:   accountID,
	})
	return tkn.SignedString(t.privateKey)
}

生成rsa.privatekey类,传入JWTTokenGen

	pkBytes, err := ioutil.ReadAll(file)
	privateKey, err := jwt.ParseRSAPrivateKeyFromPEM([]byte(pkBytes))

解密部分(验证token,解析出userID)

验证类

package token

import (
	"crypto/rsa"
	"fmt"

	"github.com/dgrijalva/jwt-go"
)

// JWTTokenVerifier verifies jwt access tokens.
type JWTTokenVerifier struct {
	PublicKey *rsa.PublicKey
}

// Verify verifies a token and returns account id.
func (v *JWTTokenVerifier) Verify(token string) (string, error) {
	t, err := jwt.ParseWithClaims(token, &jwt.StandardClaims{},
		func(token *jwt.Token) (interface{}, error) {
			return v.PublicKey, nil
		})

	if err != nil {
		return "", fmt.Errorf("cannot parse token: %v", err)
	}

	if !t.Valid {
		return "", fmt.Errorf("token not valid")
	}

	clm, ok := t.Claims.(*jwt.StandardClaims)
	if !ok {
		return "", fmt.Errorf("token claim is not StandardClaims")
	}

	if err := clm.Valid(); err != nil {
		return "", fmt.Errorf("claim not valid: %v", err)
	}

	return clm.Subject, nil
}

生成rsa.PublicKey

	pubKey, err := jwt.ParseRSAPublicKeyFromPEM([]byte(publicKey))
中二的灰太狼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Go基础学习记录之如何在Golang中使用Session
weixin_34128534的博客
10-26 1298
Session背后的基本原则是服务器维护每个客户端的信息,客户端依赖唯一的SessionID来访问此信息。当用户访问Web应用程序时,服务器将根据需要使用以下三个步骤创建新Session: 创建唯一的Session ID 打开数据存储空间:通常我们将Session保存在内存中,但如果系统意外中断,您将丢失所有Session数据。如果We...
golangJWT实现的示例代码
01-19
什么是JSON Web Token? JSON Web TokenJWT)是一个开放标准(RFC ...众所周知,在jwt出现之前,我们已经有session、cookie来解决用户登录等认证问题,为什么还要jwt呢? 这里我们先了解一下session,cookie。 sessi
golang使用session
tttttzz的博客
07-15 721
golang:使用session
golang session实现库 支持cookie, redis,mysql等多种存储方式
最新发布
05-20 803
GitHub - tekintian/go-sessions: go语言里面的Sessions实现库, 支持众多的Session存储方式,cookie, redis, mysql等。golang中官方是不支持session的, 如果想要实现session则需要自己动手来实现,或者使用第三方的go-session实现库, 今天就给大家介绍一个go语言的第三方session实现库 go-sessions,支持 的存储方式有 cookie, file, redis, mysql等众多的存储。
golang中的Session支持
后台开发
02-13 1254
session集成 beego中主要有以下的全局变量来控制session处理: //related to session SessionOn bool // 是否开启session模块,默认不开启 SessionProvider string // session后端提供处理模块,默认是sessionManager支持的memory SessionName string // 客户端保存的cookies的名称 SessionGCMaxLifeti
Golang-session管理
mryang125的博客
03-10 1136
本文将演示如何通过包 gorilla/sessions 做session管理,session是服务端存储用户数据的形式,浏览器的每次请求,都会将存储用户信息的cookie发送给服务端。由于http协议是无状态的,所以通过cookie session 记录用户的登录状态是一种再常见不过的方式。 本文将通过一个实例演示三个页面来模拟 登录认证,授权访问,注销登录的三个过程。用户首先会访问/login,服务端通过session记录用户登录状态,并将cookie信息返回给用户
login for cookie or session or token
03-15
与Cookie不同,它们通常不直接存储在客户端,而是通过一个称为Session ID的唯一标识符存储在服务器的内存或数据库中。客户端通过Cookie携带Session ID来回通信。在Golang中,可以使用第三方库如`gorilla/sessions`来...
golang blog
02-25
这可能涉及到JWT(JSON Web Tokens)或Session管理,确保只有经过身份验证的用户才能执行某些操作,如创建、编辑或删除文章。 7. **模板引擎**:Golang的标准库提供了html/template,用于渲染HTML模板。开发者可以...
Go-mux一个golang语言的强大URL路由器为和调度程序
08-13
结合其他Gorilla组件,如session管理、cookie处理等,可以构建出完整的、强大的Web服务。同时,Go-mux的性能也非常优秀,得益于Golang的并发模型和类型安全,它在处理大量请求时能保持高效运行。因此,无论你是新手...
用于go http服务器的简单,高性能,可高度自定义的会话中间件。-Golang开发
05-26
如果您对jwt感兴趣,请参阅我的jwt库! ... 默认情况下,该服务将会话...例如,存储接口仅实现三种方法:// ServiceInterface定义会话存储类型的行为ServiceInterface接口{SaveUserSession(userSession * user.Session
用于Go语言的会话库。-Golang开发
05-26
Session library for go language. go-session Session library for go language. 这是一个开源的Go语言第三方库 由于Go官方没有提供原生的Session库,所以笔者写了这么一个库,希望你在开发时候的使用这个库,减少工作量,少写几行代码, :beaming_face_with_smiling_eyes: 。 By: SDing 2020-07-30 20:17:32 Get this Package go get -u github.com/higker/go-session Use Example Code // Copyright (c) 2020 HigKer // Open Source: MIT License // Author: SDing // Date: 2020/7/30 - 8:06 PM package main import ( "fmt" "github.com/higker/go-session" "net/http" ) func init() {
go JWT RS256 加解密 “key is of invalid type”
01-20
go JWT RS256 加解密 “key is of invalid type” import ( fmt github.com/dgrijalva/jwt-go time ) func signed(name string, key interface{}) (string, error) { tk := jwt.NewWithClaims(jwt.SigningMethodRS256, jwt.MapClaims{ exp: fmt.Sprintf(%d, time.Now().Add(time.Minute).Unix()), //exp:
Golangsession管理器
weixin_34279184的博客
07-14 250
对于一些需要对用户进行管理(比如验证操作的权限等)的站点来说,session管理器是必不可少的。下面实现了一个线程安全的简单session管理类。生产环境:golang1.4.2+win7x64golang1.4.2+centos6.5×64 1.代码如下: package Helper import ( "crypto/rand" "encoding/ba...
golang日记》记录一下session的实现
weixin_43619625的博客
07-09 282
前段时间重装了一下系统,原先的配置都无了,昨天写爬虫的时候,发现我的cclient不能实现session功能了,然后就满大街的找session功能的实现,结果发现搜到的全都是自己搭建结构体实现session功能的帖子,实际上不用这么麻烦的啊。 关于cclient,这里做一下说明,像我这种懒狗就懒得老是自己去写tls层的连接内容,就直接调用别人写好的了,也就是cclient,github上有,要想直接实现session功能直接往client配置里面添加一个cookiejar就好了,没必要像别人那样专门自己用结
golang】在golang中实现session会话保持,用来做单一用户登陆验证
WILL
03-03 8696
很多变量前面加了个h,有洁癖的小伙伴见谅,现在的版本能够实现用户单一登陆,属于内存版的简单session管理,希望有大神讲一下怎么实现一个浏览器多用户登陆情况下单一登陆限制。 package hsession import ( "crypto/rand" "encoding/base64" "io" "net/http" "net/url" "strconv" "
golang miniate gate server session管理(2)
qq_27507377的博客
05-03 212
1.思路 客户端连接到服务器,将connect包裹到session struct中,给session增加注销channel,decoder,send channel(用于接受conn.read的数据) 2.gate server type GateServer struct { base.BaseServer conf *config IdGeneral *snowflake.Node //注销session的channel unregister chan uint64 //接受s
golang从0到1实战系统五十九:Go 如何使用 session
Mr_Roki的博客
03-05 986
以上三个步骤中,最关键的是如何发送这个 session 的唯一标识这一步上。考虑到 HTTP 协。的解决方案,目前 Go 标准包没有为 session 提供任何支持,这小节我们将会自己动手来实。开销,但是它可以实现某种程度的 session 持久化,也更有利于 session 的共享;全局唯一的标识来访问这份数据,以达到交互的目的。了解决这类问题,你可以将会话数据写到文件里或存储在数据库中,当然这样会增加 I/O。旦掉电,所有的会话数据就会丢失,如果是电子商务类网站,这将造成严重的后果。
golang-jwt
09-16
golang-jwt是一个在Go中实现JWT的流行包。它提供了生成和验证JWT的功能,并且因其特性和易用性而受到欢迎。要使用golang-jwt包,您需要在安装后创建一个Go文件并导入所需的包和模块。您可以使用`import`语句导入以下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值