基于GO的即时聊天后端项目(五)鉴权与加密

于 2024-03-09 23:22:02 发布
阅读量1.5k 收藏 18
点赞数 42
分类专栏: 基于GO的即时聊天后端项目 文章标签: golang 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65270961/article/details/136592716
版权
本文介绍了如何在Gin项目中集成JWT进行用户授权和鉴权,包括JWT的简要概念、如何生成和验证JWTtoken,以及如何结合MD5加密和盐值处理用户密码。重点展示了在Service层API中如何通过JWT实现登录权限控制和密码安全存储。
摘要由CSDN通过智能技术生成

文章目录

在第四节 Gin集成与Service层用户API开发中,我们实现了一些用户模块的Service层API。但并不是所有人都可以调用这些API,而是需要有一定的权限才能使用User API。具体在我们的项目中,该权限就是用户是否登录,也就是说,未登录的用户并不能接触到除了登录注册外的任何API;而已登录用户就可以使用所有的API。
在本项目中,我们使用JWT授权与鉴权来实现登录权限的授予与检验。

JWT的简要介绍

  • JWT是一种以json格式颁发的Web服务令牌,持有该令牌就可以获得一定权限,访问一些被保护的资源(如登录状态与游客状态)
  • JWT授权、鉴权在中间件(middleware)中进行
  • 对于加密算法而言,加密方式被分为:
    • 对称加密(授权与鉴权使用同一份秘钥)
    • 非对称加密(私钥生成token,公钥进行验证)
  • 而JWT使用的加密算法是一种非对称加密

项目集成JWT

1. 拉取依赖

go get github.com/dgrijalva/jwt-go

2. 授权

授权需要生成一个特定于用户的token,并携带在服务器的返回信息中告知用户,往后用户的所有API请求都应该添加上token参数。我们在 middleware/jwt.go 下实现 token 的生成代码:

// Claims carry some information about users, such as user_id, expiredTime and issuer
type Claim struct {
	UserId uint `json:"user_id"`
	jwt.StandardClaims
}

// GenerateToken return a token generate by the user and issuer information
func GenerateToken(userId uint, issuer string) (string, error) {
	// Set effective time of token
	curTime := time.Now()
	expiredTime := curTime.Add(5 * time.Minute)

	// Set token information
	claim := Claim{
		UserId: userId,
		StandardClaims: jwt.StandardClaims{
			ExpiresAt: expiredTime.Unix(),
			Issuer:    issuer,
		},
	}

	// Get string token
	tokenClaim := jwt.NewWithClaims(jwt.SigningMethodHS256, claim)
	token, err := tokenClaim.SignedString(JwtSecret)
	return token, err
}

在 /service/user.go 的用户登录API UserLoginByNameAndPwd 中需要添加生成token并传递给用户的代码:

// JWT identify
	token, err := middleware.GenerateToken(Rsp.ID, "xy")
	if err != nil {
		zap.S().Info("Failed to generate token")
		common.SendErrorResp(ctx.Writer, http.StatusInternalServerError, "Failed to generate token", nil)
		return
	}

	data := make(map[string]string)
	data["token"] = token
	data["userId"] = strconv.Itoa(int(Rsp.ID))
	common.SendNormalResp(ctx.Writer, "Success to Login in", data, user, 1)

3. 鉴权

鉴权的核心逻辑是从token中解析出Claim结构体以提取出用户信息

// ParseToken get the claim information from input token
func ParseToken(token string) (*Claim, error) {
	tokenClaim, err := jwt.ParseWithClaims(token, &Claim{}, func(token *jwt.Token) (interface{}, error) {
		return JwtSecret, nil
	})

	if tokenClaim != nil {
		// exchange type: *Token -> *Claim
		if claim, ok := tokenClaim.Claims.(*Claim); ok && tokenClaim.Valid {
			return claim, nil
		}
	}
	return nil, err
}

鉴权的流程:

  1. 从请求行参数中获取token与id
  2. 将id转为uint类型,判断id是否合法
  3. 然后判断token是否为空,不为空则尝试解析token
  4. 最后判断token是否过期

注意:在鉴权函数中必须调用 ctx.next() 以将控制权交给下一个中间件或者handler函数,否则会一直停在该中间件中

// Authentication used in middleware to check if token validate
func Authentication() gin.HandlerFunc {
	return func(ctx *gin.Context) {
		token := ctx.Request.PostFormValue("token")
		id := ctx.Request.PostFormValue("id")

		userId, err := strconv.Atoi(id)
		if err != nil {
			zap.S().Info("Illegal UserId")
			ctx.JSON(http.StatusUnauthorized, gin.H{
				"msg": "Illegal UserId",
			})
			ctx.Abort()
			return
		}

		if token == "" {
			zap.S().Info("Not Login in yet")
			ctx.JSON(http.StatusUnauthorized, gin.H{
				"msg": "Please Login in",
			})
			ctx.Abort()
			return
		} else {
			claim, err := ParseToken(token)
			if err != nil {
				zap.S().Info("token invalidity")
				ctx.JSON(http.StatusUnauthorized, gin.H{
					"msg": "token invalidity, Please Login in again",
				})
				ctx.Abort()
				return
			} else if claim.ExpiresAt < time.Now().Unix() {
				zap.S().Info("token expired")
				ctx.JSON(http.StatusUnauthorized, gin.H{
					"msg": "token expired, Please Login in again",
				})
				ctx.Abort()
				return
			}

			if claim.UserId != uint(userId) {
				zap.S().Info("Illegal Login in")
				ctx.JSON(http.StatusUnauthorized, gin.H{
					"msg": "Login Illegal",
				})
				ctx.Abort()
				return
			}

			fmt.Print("Success to Login in")
			ctx.Next()
		}

	}
}
  1. 在路由中添加鉴权步骤
  • 注意在登录API与注册API不应该添加鉴权
user.GET("/list", middleware.Authentication(), service.UserList)
user.POST("/login", service.UserLoginByNameAndPwd)
user.POST("/new", service.UserRegister)
user.POST("/update", middleware.Authentication(), service.UpdateUserInformation)
user.DELETE("/delete", middleware.Authentication(), service.DeleteUser)

注意在Gin框架中,鉴权函数更推荐以下格式:

func func_name() gin.HandlerFunc{
  return func(ctx *gin.Context) {...}
}

MD5加密

由于用户的登录密码并不建议使用明文存储在数据库中,因此需要对密码进行加密,并存储在数据库中。在本项目中,我们使用MD5算法与加盐算法对用户密码进行加密操作。具体信息可以查阅CSDN文章:加密 / MD5算法 /盐值

盐值

在用户注册时,服务器会自动生成一个随机的字符串作为该用户的盐值

// Generate Salt value
	salt := fmt.Sprintf("%d", rand.Int31())
	user.Salt = salt

Md5加密函数

在 common/password_encoder.go 下实现md5加密函数:

import (
	"crypto/md5"
	"encoding/hex"
	"io"
)

// Md5Encoder Encode the PassWord by Md5
func Md5Encoder(code string) string {
	m := md5.New()
	io.WriteString(m, code)
	return hex.EncodeToString(m.Sum(nil))
}

加盐密码生成和验证

同样在 common/password_encoder.go 下添加加盐密码生成和验证函数:

// CheckPassword Encode the input password and compare the password in DB
func CheckPassword(curPwd string, salt string, dbPwd string) bool {
	pwd := SaltPassword(curPwd, salt)
	return pwd == dbPwd
}

// SaltPassword return the password with salt
func SaltPassword(pwd string, salt string) string {
	saltPwd := fmt.Sprintf("%s%s", Md5Encoder(pwd), salt)
	return saltPwd
}
σ220
关注
  • 42
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【Go开源宝藏】JWT-Go 鉴权 | 中间件
面向生活编程
09-24 2006
【Go开源宝藏】JWT-Go鉴权
go语言 | jwt鉴权初涉
weixin_45904051的博客
04-20 364
JWT鉴权学习
17 Go 鉴权(三):JWT
gofuncchan的博客
07-20 148
Go 使用JWT鉴权 一、实现思路: 实现一个基于jwt-go包的JWT编解码工具 实现一个HTTP服务器 编写登录处理器,接收用户认证信息后,从数据库获取用户信息(假设用户已注册),使用TokenService编码成token返回给用户保存 编写获取用户信息处理器,接收后湖token,解码token,返回信息给用户。 二、jwt-go简单用例: 1.实现一个简单的JWT编解码服务:jw...
16 Go 鉴权(二):实现Session管理器及Session存储
gofuncchan的博客
07-20 472
一、Go实现Session管理器 Go官方没有提供Session管理器,我们需自己实现Session管理器,Session的存储可以使用文件系统、缓存系统或数据库系统都可以。以下实现出自Github开源项目beego的Session实现,仅供参考: 出处:https://github.com/astaxie/session Session创建过程 session的基本原理是由服务器为每个会话维护一...
3 GO语言鉴权与操作数据库
行走的皮卡丘
05-02 525
GO语言鉴权与操作数据库
毕业设计 基于java+DES加密即时通信聊天系统源码+部署文档+全部数据资料(优秀项目).zip
05-18
【毕业设计 基于java+DES加密即时通信聊天系统源码+部署文档+全部数据资料(优秀项目).zip毕业设计 基于java+DES加密即时通信聊天系统源码+部署文档+全部数据资料(优秀项目).zip毕业设计 基于java+DES加密的...
基于Java实现带图形用户界面的基于数据加密算法的即时聊天系统源码+项目说明+sql数据库.zip
01-16
基于Java实现带图形用户界面的基于数据加密算法的即时聊天系统源码+项目说明+sql数据库.zip 本项目基于 Java 的 Swing 包实现了一个带图形用户界面的基于数据加密算法的即时聊天系统。实现了用户登录及验证、在线...
移动通信中的鉴权加密
02-26
讲述了1G、2G、3G和4G移动通信技术中的鉴权加密技术,概述了移动通信中的信息安全方法。可供网络安全技术人员参考。
RSA实现JS前端加密与PHP后端解密功能示例
10-16
RSA算法是一种非对称加密算法,它基于两个密钥:公钥和私钥。在JS前端加密和PHP后端解密的场景中,RSA扮演着关键角色,确保数据在传输过程中的安全。以下是对RSA在该场景下实现的详细解释: 1. **前端加密**: - ...
锂日历记事本-Gin后端项目,基于go语言Gin框架开发.zip
最新发布
05-24
锂日历记事本-Gin后端项目,基于go语言Gin框架开发Go语言(也称为Golang)是由Google开发的一种静态强类型、编译型的编程语言。它旨在成为一门简单、高效、安全和并发的编程语言,特别适用于构建高性能的服务器和...
CDMA终端CAVE和MD5鉴权的区别
11-13
CDMA终端CAVE和MD5鉴权的区别 当前中国电信3G网络为什么可以同时使用两种接入鉴权
go gin 使用jwt 鉴权
霍城延的随笔
06-28 2917
本博客代码已发布在github:https://github.com/Huochengyan/myGoProject 第一步: 服务器生成Token package api import ( "github.com/astaxie/beego/validation" "github.com/gin-gonic/gin" "log" "myProject/corll" ...
GO 聊天IM系统(一)整合jwt实现系统的登录和鉴权功能
weixin_49260963的博客
01-15 603
GO 聊天IM系统(一)整合jet实现系统的登录和鉴权功能
GB28181 MD5鉴权
qq_36731538的博客
09-06 462
https://blog.csdn.net/yunlianglinfeng/article/details/81109380
rtsp的鉴权MD5验证
wssjn1994的博客
06-13 3201
这是一条真实的rtsp通信抓包过程 OPTIONS rtsp://192.168.0.46:554/streaming/channels/stream1 RTSP/1.0 CSeq: 2 User-Agent: LibVLC/2.2.1 (LIVE555 Streaming Media v2014.07.25) RTSP/1.0 200 OK CSeq: 2 Date: Sat, May 1...
Spring Boot Gateway 自定义网关, 实现 HmacMD5 鉴权
Oinguoguo的博客
01-23 839
1. application.yml 文件中添加: web-mvc-configurer: auths: - app_id: test key: 123 - app_id: admin key: 35986392d2d94eadadf8558eac9f2771 2. 编写网关控制类 package com.my.app.controller; import com.alibaba.fastjson.JSONObject; import org.apach.
Golang | Go RPC & TLS 鉴权
雨下一整晚real的博客
12-29 1058
RPC () 是一种远程通信协议,用于让不同服务之间进行通信。相比 HTTP,RPC 在传输信息时会减少一些额外的信息。HTTP 是实现 RPC 的一种手段,RPC 常见的实现有很多,比如 Dubbo、gRPC、Hessian 等。远程过程调用,实际上最终是一个调用。相比于本地调用,RPC 还需要知道对向的地址信息。本地调用就如同两个人面对面交流,RPC 则像是两个人打电话,需要知道对方的手机号码,但是并不关心语音怎么编码、传输、解码的过程。提供服务的一端,我们称为服务端,就好比是接听电话的一端。
Gin中使用jwt-go实现JWT鉴权登陆
mjiarong的博客
10-01 1701
JWT全称Json web token ,是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,是目前最流行的跨域身份验证解决方案。JWT基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息,一旦用户完成了登陆,在接下来的每个请求中都会包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限的验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,这也为应用的扩展提供了便利。JWT 以 JSON 对象的形式安全传递信息。
golang接口鉴权
weixin_42959704的博客
08-25 910
由 Unix 秒级时间戳、密钥、请求参数生成,是 时间戳 + 密钥 + 请求体(post 发送的请求参数) 的 sha1 哈希值。请求接口时需要在 header 中添加。是生成签名时使用的时间戳。签名的过期时间为 10 秒。1、样本状态查询接口。...............
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值