golang jwt鉴权流程

最新推荐文章于 2025-02-10 11:11:22 发布
最新推荐文章于 2025-02-10 11:11:22 发布
阅读量463 收藏 5
点赞数 3
文章标签: golang 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Annia_/article/details/145268759
版权

JWT(JSON Web Token)是一种用于在网络应用环境间传递声明(Claims)的无状态、独立、紧凑和独立的信息格式。以下是 JWT 进行鉴权的基本流程:

1. 用户登录

用户通过用户名和密码登录系统,系统验证用户身份。

2. 生成 JWT 令牌

系统验证用户身份成功后,生成一个 JWT 令牌。JWT 令牌通常包含以下部分:

  • Header(头部):包含令牌的类型(通常是 JWT)和使用的签名算法(如 HMAC-SHA256)。

  • Payload(载荷):包含声明(Claims),这些声明可以是用户 ID、角色、过期时间等。

  • Signature(签名):用于验证 JWT 的完整性和真实性。

3. 返回 JWT 令牌

系统将生成的 JWT 令牌返回给客户端(通常是浏览器或移动应用)。

4. 客户端存储 JWT 令牌

客户端收到 JWT 令牌后,通常会将其存储在本地存储(如 localStoragesessionStorage)或 Cookie 中。

5. 客户端发送请求

客户端在后续的请求中,将 JWT 令牌放在 HTTP 请求头的 Authorization 字段中,格式通常为 Bearer <token>

6. 服务端验证 JWT 令牌

服务端接收到请求后,从 Authorization 请求头中提取 JWT 令牌,并进行验证:

  • 验证签名:使用与生成 JWT 时相同的密钥验证 JWT 的签名是否有效。

  • 验证过期时间:检查 JWT 的过期时间是否已过。

  • 验证其他声明:根据需要验证其他声明,如用户角色、权限等。

7. 处理请求

如果 JWT 令牌验证通过,服务端处理请求并返回响应。如果验证失败,返回错误响应(如 401 Unauthorized)。

示例代码

生成 JWT 令牌(服务端)
package main

import (
    "fmt"
    "time"
    "github.com/golang-jwt/jwt"
)

// 自定义 Claims
type CustomClaims struct {
    UserID   string `json:"user_id"`
    Role     string `json:"role"`
    jwt.StandardClaims
}

func main() {
    // 自定义 Claims
    claims := CustomClaims{
        UserID: "12345",
        Role:   "admin",
        StandardClaims: jwt.StandardClaims{
            ExpiresAt: time.Now().Add(24 * time.Hour).Unix(),
            Issuer:    "myapp",
        },
    }

    // 密钥
    jwtSecret := "mysecretkey"

    // 创建 JWT 令牌
    token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)

    // 使用密钥签名并生成字符串形式的 JWT 令牌
    tokenString, err := token.SignedString([]byte(jwtSecret))
    if err != nil {
        fmt.Println("生成令牌失败:", err)
        return
    }

    fmt.Println("生成的 JWT 令牌:", tokenString)
}
验证 JWT 令牌(服务端)
package main

import (
    "fmt"
    "net/http"
    "strings"
    "github.com/golang-jwt/jwt"
)

// 自定义 Claims
type CustomClaims struct {
    UserID   string `json:"user_id"`
    Role     string `json:"role"`
    jwt.StandardClaims
}

func handler(w http.ResponseWriter, r *http.Request) {
    // 获取 Authorization 请求头
    authHeader := r.Header.Get("Authorization")

    // 检查 Authorization 请求头是否存在
    if authHeader == "" {
        http.Error(w, "Missing Authorization header", http.StatusUnauthorized)
        return
    }

    // 提取 JWT 令牌
    tokenString := strings.TrimPrefix(authHeader, "Bearer ")

    // 验证 JWT 令牌
    token, err := jwt.ParseWithClaims(tokenString, &CustomClaims{}, func(token *jwt.Token) (interface{}, error) {
        // 提供签名密钥
        return []byte("mysecretkey"), nil
    })

    if err != nil {
        http.Error(w, "Invalid token", http.StatusUnauthorized)
        return
    }

    if !token.Valid {
        http.Error(w, "Invalid token", http.StatusUnauthorized)
        return
    }

    // 处理请求
    fmt.Fprintf(w, "Hello, World!")
}

func main() {
    http.HandleFunc("/api/data", handler)
    http.ListenAndServe(":8080", nil)
}

可以将验证jwt令牌的方法定义为中间件(Middleware),通过Use方法注册到gin中,应用于所有路由。gin的中间件在请求处理流程中被调用,可以对请求进行预处理、修改请求或响应,甚至可以终止请求的处理。中间件在 Gin 中非常常用,可以用于实现诸如身份验证、日志记录、请求限制等功能。

示例代码:

package main

import (
    "github.com/gin-gonic/gin"
    "github.com/golang-jwt/jwt"
    "strings"
)

// 自定义 Claims
type CustomClaims struct {
    UserID   string `json:"user_id"`
    Role     string `json:"role"`
    jwt.StandardClaims
}

// Auth 返回一个 Gin 中间件函数
func Auth() gin.HandlerFunc {
    return func(c *gin.Context) {
        // 获取 Authorization 请求头
        authHeader := c.GetHeader("Authorization")

        // 检查 Authorization 请求头是否存在
        if authHeader == "" {
            c.JSON(401, gin.H{"error": "Missing Authorization header"})
            c.Abort()
            return
        }

        // 提取 JWT 令牌
        tokenString := strings.TrimPrefix(authHeader, "Bearer ")

        // 验证 JWT 令牌
        token, err := jwt.ParseWithClaims(tokenString, &CustomClaims{}, func(token *jwt.Token) (interface{}, error) {
            // 提供签名密钥
            return []byte("mysecretkey"), nil
        })

        if err != nil {
            c.JSON(401, gin.H{"error": "Invalid token"})
            c.Abort()
            return
        }

        if !token.Valid {
            c.JSON(401, gin.H{"error": "Invalid token"})
            c.Abort()
            return
        }

        // 如果验证通过,继续处理请求
        c.Next()
    }
}

func main() {
    r := gin.Default()

    // 使用 Auth 中间件
    r.Use(Auth())

    r.GET("/api/data", func(c *gin.Context) {
        c.JSON(200, gin.H{"message": "Hello, World!"})
    })

    r.Run(":8080")
}
醒醒a
关注
Golang】Gin框架中如何使用JWT来实现登录认证
景天科技苑
11-01 5万+
JWT: JSON Web Token,是一种用于身份验证和授的开放标准,JWT可以在网络应用间安全的传输。JWT由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature) JWT具有可扩展性、简单、轻量级、跨语言等优点,是前后端分离框架中最常用的验证方式。
nodejs面试官:如何实现jwt机制?说说你的思路
VAN
02-13 648
前端八股文
golang工程组件之轻量级认证机制jwt
SMILY12138的博客
04-12 411
JWT(JSON Web Token)是一种轻量级的认证机制,它可以传输在网络上的用户身份和声明信息,以及一些其他的元数据。这个库是比较流行的一个库,维护的也比较活跃。这个库是比较新的一个库,它可以用来对Token进行签名和验证。(1)Token过期问题:由于Token是有有效期的,所以必须要定期更新Token。(2)Token泄露问题:如果Token被泄露,攻击者可以利用该Token来访问受保护的资源。(3)可扩展性:JWT的Payload部分可以包含任何JSON格式的数据,因此它非常灵活。
Golang学习之旅】使用 JWT 进行身份认证(Token 机制)
最新发布
程序员林北北的博客
02-10 1238
是一种基于 JSON 格式的无状态认证机制,广泛应用于 RESTful API 的身份认证。它的基本思想是:服务器在用户登录成功后,生成一个Token(令牌),然后客户端在后续的请求中携带该 Token,服务器通过解析 Token 进行身份验证。无状态:服务器不需要存储 Token 状态,所有信息都包含在 Token 内部。跨平台:基于 JSON 格式,可以在任何支持 HTTP 的环境中使用。自包含:Token 本身包含了身份验证相关的信息,减少了数据库查询。
JWT的介绍与应用
CONSOLE11的博客
12-30 3809
目录 2.JWT的应用场景 3.JWT的应用详解 4.为什么要用JWT 2.1 传统Session认证的弊端 2.2 JWT认证的优势 5.JWT结构 1.Header 2.Payload 3.Signature 6.JWT的种类 JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT
Golang JWT
qq_37112905的博客
08-29 336
Golang JWT http的无状态催生了cookie 和seesion Cookie cookie是保存在客户端中的客户端相关的用户信息:用户名密码等可以用于服务端的二次验证,初始访问时的客户端请求不携带cookie,服务端会为其添加对应的cookie字段二次访问时cookie和客户端请求一起发送到服务端 Cookie分为会话Cookie和持久Cookie: 会话Cookie不保存到硬盘...
golang中的JWT
猛犸象
10-09 854
JWT是一种协议,和语言无关,只需要按照协议来加密和解析即可,但是golang是强类型的,所以自定义的claims中的各字段要正确定义,否则无法解析。 首先需要设置加密算法(比如 HS256)和 JWT Secret。 当拿到一个JWT Token之后可以先Debug查看其三个部分的定义。 关于JWT的原理可以参考 https://blog.youkuaiyun.com/raoxiaoya/article/details/101781339 也就是说,通过JWT Token 就可以知道算法(第一部分)和claims(
golang-jwt使用
a1023934860的博客
06-07 4156
1.在使用之前我们应该对它进行安装与导入 2.既然导入成功那就开始使用吧 3.逐步讲解首先我们先查看第一步 newWithClaims会返回一个Token结构体,而这个token结构体有以下属性 我们可以通过该结构体获取到加密后的字符串信息。接下来我们需要讲解一下Claims该结构体存储了token字符串的超时时间等信息以及在解析时的Token校验工作。 就是一个map集合,但是它实现了上面Valid()方法,该方法里面实现了对token过期日期校验、发布时间、生效时间的校验工作。 所以在map里面有三个固
【编程实践】Go 实现 JWT以及将其用作中间件的方式
热门推荐
AI天才研究院
03-11 2万+
JSON Web令牌(JWT)作为令牌系统而不是在每次请求时都发送用户名和密码,因此比其他方法(如基本身份验证)具有固有的优势。最后,在使用此代码之前,您需要将APP_KEY常量更改为机密(理想情况下,该常量将存储在代码库外部),并改进用户名/密码检查中的内容,TokenHandler以检查不仅仅是myusername/ mypassword组合。我们在上面的示例流程中显示,首先获取一个令牌,然后在调用端点时使用该令牌。在此示例中,我们使用了两个库,即 Go 中的JWT实现以及将其用作中间件的方式。
Golang:BasicAuth + JWT 校验用户
HTK217的博客
03-09 2065
为什么需要限 在平常浏览网页中,大多数网站对用户分为游客和普通用户,还有会员,那么游客浏览一些网页需要登录才能看到,普通用户查看一些帖子需要积分,而会员则像是开了一条绿色通道,什么都能访问,这就是限的作用 使用 BasicAuth 认证 BasicAuth 是开放平台的认证方式,每次访问 API 都会携带 用户的 username 和 password 认证,那么 BasicAuth 会对 u...
gin框架学习-JWT认证
林钟一的博客
07-12 1894
gin框架学习-JWT认证
golangJWT实现的示例代码
01-19
什么是JSON Web Token? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON方式安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 直白的讲jwt就是一种用户认证(区别于session、cookie)的解决方案。 出现的背景 众所周知,在jwt出现之前,我们已经有session、cookie来解决用户登录等认证问题,为什么还要jwt呢? 这里我们先了解一下session,cookie。 sessi
JWT-golang
hengchi_hengchi的博客
11-25 735
JWT特点 JWT是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息,一个JWT由三部分组成,Header头部、Claims载荷、Signature签名 JWT使用 JWT头部,加密算法通常直接使用SHA256 { "typ": "JWT","alg": "HS256"} JWT-Claims负载 type StandardClaims struct { // 受众 Audience ClaimStrings `json:"aud,
golang中的jwt
后台开发
11-06 352
最近项目中需要用到机制,golangjwt可以用。下面分享两个jwt demo,一个用gin实现,一个用golang中的原生http实现。 https://www.cnblogs.com/jiujuan/p/11403066.html https://blog.youkuaiyun.com/cbmljs/article/details/86072395 ...
golang整合jwt
weixin_49132888的博客
08-13 506
下载包直接上代码。
golang入门笔记——jwt
qq_43716830的博客
06-11 883
jwt全称(JSON WEB TOKEN),是一种后台不做存储的前端身份验证的工具。分为三部分:Header、Claims、Signature
Golang 实现JWT认证
neweastsun的专栏
05-04 1万+
Golang 实现JWT认证 认证是让应用知道给应用发送请求的人是他所说的那个人。JSON web token (JWT)是认证的一种方式,相比于基于Session认证,在系统中并不存储任何关于用户信息。 本文演示使用Golang实现基于JWT认证的示例应用。 1. JWT 1.1. JWT格式 假设用户user1尝试登录应用,成功后收到token信息如下: eyJhbGciOiJIUzI1NiI...
JWTgolang 中的使用
weixin_42492572的博客
11-07 252
JWT (JSON Web Tokens) 在golang中的使用
Go语言实现的GRPC与JWT示例
资源摘要信息:"该压缩包名为'jwtdemo.zip',其内容涉及到Go语言(golang)编程,特别是go-grpc框架和JSON Web Tokens (JWT)的实现。Go语言是一种编译型、静态类型语言,由Google开发,以其性能高效和并发处理能力强大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值