Go实现jwt

最新推荐文章于 2024-08-05 11:24:34 发布
最新推荐文章于 2024-08-05 11:24:34 发布
阅读量6.3k 收藏 17
点赞数 6
分类专栏: Go 文章标签: go jwt sso
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxy_666/article/details/80021331
版权
本文介绍了JWT在Go语言中的实现,包括JWT的基础知识、JWT与Session的对比,以及使用jwt-go库创建JWT的详细步骤。文章探讨了如何在用户主动退出登录时处理JWT的有效性,并提出了使用双重token以增强安全性。
摘要由CSDN通过智能技术生成

版权声明:本文为博主原创文章,博客地址:
https://blog.csdn.net/zxy_666/article/details/80021331,未经博主允许不得转载。

基础知识前瞻

前言:
因为http协议是一种无状态协议,这就涉及用户访问系统的状态保持问题。

在登录系统的设计中,当用户访问系统时,服务器需要认证用户登录相关的信息,以决定用户能否登录到系统中。
这一设计一般有2种实现方式:session和jwt。每种开发语言都有其相应的实现包,本文主要介绍jwt在go中的实践。

jwt简介

JSON Web Token(jwt)是一种规范,常用于用户与服务器间的认证。

jwt结构

jwt由以下三部分构成:
* Header:头部 (对应:Header)
* Claims:声明 (对应:Payload)
* Signature:签名 (对应:Signature)

Header头部

Header中指明jwt的签名算法,如

{
  "typ": "JWT",
  "alg": "HS256"
}
Claims声明

声明中有jwt自身预置的,使用时可选。当然,我们也可以加入自定义的声明,
如uid,userName之类信息,但一定不要声明重要或私密的信息,因为这些信息是可破解的。

Signature签名

在生成jwt的token(令牌的意思)串时,先将Header和Claims用base64编码,再用Header中指定的加密算法,
将编码后的2个字符串进行加密(签名)。加密时需要用到一个signString签名串,我们可指定自己的signString,
不同的signString生成的加密结果不一样(解密时可能也需要同样的串,视加密算法而定)。

最后生成的jwt token串格式是:Header.Claims.Signature.如

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.
TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

(实际的token串不换行,这里只为展示清晰)

session VS jwt

  • 二者最主要的区别是用户登录状态的保存机制。

session:将用户登录的状态信息保存在服务器,客户端只存储uid。
客户端访问服务器时,服务器拿着uid去获取相应的服务器session(一个数据结构),并判断用户登录状态是否有效,是则允许登录系统,否则返回客户端(重新登录)。

jwt:将用户登录状态信息保存在客户端(即token串,因为token只保存在客户端),token中可以设置token失效时间。
客户端访问服务器时,带着该token,服务器解析token,解析成功且登录状态有效可以放行,否则返回客户端(具体逻辑视个人情况而定)。

  • 对服务器压力

session:因为session会话信息保存在服务器,会增加服务器I/O压力

jwt token:因服务器需要解析token(如base64解码,解密),会增加服务器计算压力。
但token中可以保存一些用户的基本信息,服务器解析即可获取,免去了查数据库的必要

2种方式各有各的好,至于使用哪种方式,视自身情况而定。

扩展

本文重点在于jwt的go实现,概念只做大致介绍

对于初次接触登录系统设计或开发的同学,先对相关概念和设

最低0.47元/天 解锁文章
滢光点点
关注
专栏目录
go使用JWT
22333
05-01 797
JWT 包: “github.com/dgrijalva/jwt-go” 声明结构体: type MyStandardClaims struct { Username string `json:"username"` jwt.StandardClaims } 添加属性:jwt.StandardClaims 设置密钥: myKey := []byte(“qwertyuiop”) 创建结构体: ms := MyStandardClaims{ Username: "hzyy", S
如何在Go中构建JWT
编程故事的地方
02-25 204
Go在后端Web开发中变得非常流行,而JWT是处理API请求身份验证的最流行方法之一。 在本文中,我们将介绍JWT的基础知识以及如何在Go!中实现安全的身份验证策略。 什么是JWT? JSON Web令牌是一种开放的行业标准RFC 7519方法,用于在双方之间安全地表示声明。 简而言之,JWT是已编码的JSON对象,已由服务器签名,以验证真实性。 例如,当用户登录通过JWT保护的网站时,...
用go实现JWT
最新发布
2201_75639894的博客
08-05 1653
JWT 最常见的场景就是授权认证,一旦用户登录,后续每个请求都将包含JWT,系统在每次处理用户请求的之前,都要先进行JWT安全校验,通过之后再进行处理。ISON Web Token,通过数字签名的方式,以JSON 对象为载体,在不同的服务终端之间安 全的传输信息。
go的jwt生成
小人物也有大梦想
07-03 471
在GOPATH目录下执行 go get -u github.com/dgrijalva/jwt-go下载工具包 package main import ( "encoding/json" "errors" "fmt" "github.com/dgrijalva/jwt-go" "time" ) //定义结构体(继承jwt.StandardClaims 结构体) type MyClaims struct { Username string `json:"username"` Role str
Go JWT 全面指南
cmy_top的博客
03-07 1891
本文首先对 JWT 进行了概述,随后深入讲解了在 Go 语言下使用 JWT 的全过程。内容包括安装 Go 的 JWT 模块、创建 JWT 对象、生成 JWT 字符串以及解析 JWT 字符串的详细指南。
go 实现 jwt 签名和验证
____
03-16 1399
变化 上古时代的开发方式,都是通过COOKIE来认证。现在是使用JWT header 来认证。 golang中很方便自带的签发jwt的token。最新使用的库是 go get -u github.com/golang-jwt/jwt/v4 注意 很多老人都在使用github.com/dgrijalva/jwt-go,而这个实际上已经不维护和更新了。 现在都转交给官方去维护了,官方说明 https://github.com/golang-jwt/jwt/blob/main/MIGRATION_GUIDE.m
[golang] 实现 jwt 方式登录
咸鱼老罗的博客
02-13 1000
JSON Web Token(缩写 JWT)是目前流行的跨域认证解决方案,原理是生存的凭证包含标题 header,有效负载 payload 和签名组成。用户信息payload中,后端接收时只验证凭证是否有效,有效就使用凭证中的用户信息。签名是通过标题 header,有效负载 payload 和密钥(后端保存,不可泄露)生成。JWT 介绍:https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html。
实战——golang实现JWT验证登录
qq_42215697的博客
09-18 1104
g
golang之JWT实现的示例代码
09-16
为了在Golang中实现JWT,我们可以利用现有的库,如`github.com/dgrijalva/jwt-go`,这个库提供了创建和验证JWT的完整功能。 **1. 自定义 Claims 类型** 为了适应不同的应用场景,我们需要自定义Claims类型。下面是...
jwt:Go的快速,简单的JWT实现
05-07
智威汤逊 用编写的快速简单的实现。 该软件包在设计时考虑了安全性,性能和简便性,它保护令牌免受。 请为这个开源项目加注以吸引更多的开发人员,以便我们共同改善它! 安装 唯一的要求是。 $ go get github.com/kataras/jwt 导入为import "github.com/kataras/jwt"并将其用作jwt.XXX 。 目录 验证令牌 解码自定义声明 JSON必需标签标准索偿验证器 阻止令牌 令牌对 JSON Web算法 选择正确的算法 使用您自己的算法 产生金钥 加载和解析键 加密 基准测试 例子 基本的 自定义标题 HTTP中间件 黑名单 JSON必需标签 自定义验证 进阶:Iris中间件 高级:Redis阻止列表 参考 执照 入门 使用Sign方法签名并生成令牌,以紧凑形式返回令牌。 (可选)设置到期时间,如果有效负载中缺少"exp" ,请使用jwt
go代码实现jwt
qianzongCui的博客
12-29 1712
go代码实现jwt
JWT介绍&go实现JWT
weixin_63860405的博客
07-19 959
JSON Web Token(JWT) 是一种开放标准 (RFC 7519),它定义了一种紧凑且独立的方式,用于将信息作为 JSON 对象在各方之间安全地传输。此信息可以验证和信任,因为它是数字签名的。可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对 JWT 进行签名。
golang之JWT实现
无风的雨
05-30 2134
什么是JSON Web Token? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON方式安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 直白的讲jwt就是一种用户认证(区别于session、cookie)的解决方案。 出现的背景 众所周知,在jwt出现之前,我们已经有session、cookie来解决用户登录等认证问题
go 进阶 三方库之 jwt-go
qq_29799655的博客
05-11 1358
根据JWT Token中是否存在Signature签名又将JWT分为两类: 不使用Signature签名的JWT称为nonsecure JWT未经过签名,不安全的JWT,其header部分也没有指定签名算法, 使用了Signature签名的通过签名保证jwt不能被他人随意篡改,我们又称为JWS。
Go之JWT详解
思维小刀
01-20 1052
JWT详解 | 包包的Tech Pool
go实现jwt验证过程
长舒的博客
04-21 762
jwt验证在分布式系统中作为权限验证模块的一个中间件,地位尤其重要,特此在这用代码记录一下简单的设计流程 首先看一下jwt验证的流程图 实现流程见代码 package main import ( "github.com/dgrijalva/jwt-go" "time" "github.com/gin-gonic/gin" "net/http" "strings" "errors...
【翻译】一步一步教你实现JWT安全认证(Go)
xmcy001122的专栏
08-24 1288
写给新手的jwt认证指南,教会你正确的使用jwt保证应用安全,涵盖accessToken和refreshToken的实现机制和原理。
Go语言实现JWT-RESTful认证详解
4. Go语言中的JWT实现 - 在Go中,可以使用如`github.com/dgrijalva/jwt-go`这样的库来生成和验证JWT。生成JWT时,需要指定加密密钥和载荷信息,然后创建并返回令牌字符串。 - 验证JWT时,接收请求中的令牌,使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值