GoLong的学习之路(十七)基础工具之Gin框架使用JWT(前后端分离)

已于 2023-10-31 09:02:02 修改
阅读量483 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: GoLong 文章标签: 学习 gin golang Token
于 2023-10-30 15:48:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Cheer_RIO/article/details/134116276
本文介绍了如何在Go语言的Gin框架中使用JWT进行用户认证,包括JWT的安装、默认和自定义Claims的使用、生成和解析Token的过程,以及在Gin中设置中间件和注册路由的示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

JWT

JWT全称JSON Web Token是一种跨域认证解决方案,属于一个开放的标准,它规定了一种Token实现方式,目前多用于前后端分离项目和OAuth2.0业务场景下。

诺是不用这个JWT我们就需要去使用Cookie-Session模式实现用户认证。

流程为:

  1. 用户在浏览器端填写用户名和密码,并发送给服务端
  2. 服务端对用户名密码校验通过后会生成一份保存当前用户相关信息的session数据和一个与之对应的标识(通常称为session_id
  3. 服务端返回响应时将上一步的session_id写入用户浏览器的Cookie
  4. 后续用户来自该浏览器的每次请求都会自动携带包含session_idCookie
  5. 服务端通过请求中的session_id就能找到之前保存的该用户那份session数据,从而获取该用户的相关信息。

这种方案依赖于客户端(浏览器)保存 Cookie,并且需要在服务端存储用户的session数据。

在移动互联网时代,我们的用户可能使用浏览器也可能使用APP来访问我们的服务,我们的web应用可能是前后端分开部署在不同的端口,有时候我们还需要支持第三方登录,这下Cookie-Session的模式就有些力不从心了。

JWT就是一种基于Token的轻量级认证模式,服务端认证通过后,会生成一个JSON对象,经过签名后得到一个Token(令牌)再发回给用户,用户后续请求只需要带上这个Token,服务端解密之后就能获取该用户的相关信息了。

安装JWT

我们使用 Go 语言社区中的 jwt 相关库来构建我们的应用,例如:https://github.com/golang-jwt/jwt

方法1:

go get github.com/golang-jwt/jwt/v4

方法2

import "github.com/golang-jwt/jwt/v4"

使用

什么是Claims

JWT tokenpayload 部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。 JWT标准里面定义的标准claim包括:

  • iss(Issuser):JWT的签发主体;
  • sub(Subject):JWT的所有者;
  • aud(Audience):JWT的接收对象;
  • exp(Expiration time):JWT的过期时间;
  • nbf(Not Before):JWT的生效开始时间;
  • iat(Issued at):JWT的签发时间;
  • jti(JWT ID):是JWT的唯一标识

默认Claims

如果我们直接使用JWT中默认的字段,没有其他定制化的需求则可以直接使用这个包中的和方法快速生成和解析token。

// 用于签名的字符串
var mySigningKey = []byte("liwenzhou.com")

// GenRegisteredClaims 使用默认声明创建jwt
func GenRegisteredClaims() (string, error) {
	// 创建 Claims
	claims := &jwt.RegisteredClaims{
		ExpiresAt: jwt.NewNumericDate(time.Now().Add(time.Hour * 24)), // 过期时间
		Issuer:    "qimi",                                             // 签发人
	}
	// 生成token对象
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	// 生成签名字符串
	return token.SignedString(mySigningKey)
}

// ParseRegisteredClaims 解析jwt
func ValidateRegisteredClaims(tokenString string) bool {
	// 解析token
	token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
		return mySigningKey, nil
	})
	if err != nil { // 解析token失败
		return false
	}
	return token.Valid
}

自定义Claims

除了以上标准声明以外。还有因为自己的需求不同来决定:JWT中来保存那些数据。

例子:我们规定在JWT中要存储username信息,那么我们就定义一个MyClaims结构体。

// CustomClaims 自定义声明类型 并内嵌jwt.RegisteredClaims
// jwt包自带的jwt.RegisteredClaims只包含了官方字段
// 假设我们这里需要额外记录一个username字段,所以要自定义结构体
// 如果想要保存更多信息,都可以添加到这个结构体中
type CustomClaims struct {
	// 可根据需要自行添加字段
	Username             string `json:"username"`
	jwt.RegisteredClaims        // 内嵌标准的声明
}

自定义签名的字符串的过期时间

const TokenExpireDuration = time.Hour * 24

自定义签名

// CustomSecret 用于加盐的字符串
var CustomSecret = []byte("秋天秋天悄悄过去,留下小秘密")

生成JWT

根据自己的业务需要封装一个生成 token 的函数。

// GenToken 生成JWT
func GenToken(username string) (string, error) {
	// 创建一个我们自己的声明
	claims := CustomClaims{
		username, // 自定义字段
		jwt.RegisteredClaims{
			ExpiresAt: jwt.NewNumericDate(time.Now().Add(TokenExpireDuration)),
			Issuer:    "my-project", // 签发人
		},
	}
	// 使用指定的签名方法创建签名对象
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	// 使用指定的secret签名并获得完整的编码后的字符串token
	return token.SignedString(CustomSecret)
}

解析JWT

jwt.ParseWithClaims()

// ParseToken 解析JWT
func ParseToken(tokenString string) (*CustomClaims, error) {
	// 解析token
	// 如果是自定义Claim结构体则需要使用 ParseWithClaims 方法
	token, err := jwt.ParseWithClaims(tokenString, &CustomClaims{}, func(token *jwt.Token) (i interface{}, err error) {
		// 直接使用标准的Claim则可以直接使用Parse方法
		//token, err := jwt.Parse(tokenString, func(token *jwt.Token) (i interface{}, err error) {
		return CustomSecret, nil
	})
	if err != nil {
		return nil, err
	}
	// 对token对象中的Claim进行类型断言
	if claims, ok := token.Claims.(*CustomClaims); ok && token.Valid { // 校验token
		return claims, nil
	}
	return nil, errors.New("invalid token")
}

在gin框架中使用JWT

获取Token渠道

我们注册一条路由/auth,对外提供获取Token的渠道

r.POST("/auth", authHandler)

定义方法

authHandler定义

func authHandler(c *gin.Context) {
	// 用户发送用户名和密码过来
	var user UserInfo
	err := c.ShouldBind(&user)
	if err != nil {
		c.JSON(http.StatusOK, gin.H{
			"code": 2001,
			"msg":  "无效的参数",
		})
		return
	}
	// 校验用户名和密码是否正确
	if user.Username == "q1mi" && user.Password == "q1mi123" {
		// 生成Token
		tokenString, _ := GenToken(user.Username)
		c.JSON(http.StatusOK, gin.H{
			"code": 2000,
			"msg":  "success",
			"data": gin.H{"token": tokenString},
		})
		return
	}
	c.JSON(http.StatusOK, gin.H{
		"code": 2002,
		"msg":  "鉴权失败",
	})
	return
}

设置中间件

// JWTAuthMiddleware 基于JWT的认证中间件
func JWTAuthMiddleware() func(c *gin.Context) {
	return func(c *gin.Context) {
		// 客户端携带Token有三种方式 1.放在请求头 2.放在请求体 3.放在URI
		// 这里假设Token放在Header的Authorization中,并使用Bearer开头
		// 这里的具体实现方式要依据你的实际业务情况决定
		authHeader := c.Request.Header.Get("Authorization")
		if authHeader == "" {
			c.JSON(http.StatusOK, gin.H{
				"code": 2003,
				"msg":  "请求头中auth为空",
			})
			c.Abort()
			return
		}
		// 按空格分割
		parts := strings.SplitN(authHeader, " ", 2)
		if !(len(parts) == 2 && parts[0] == "Bearer") {
			c.JSON(http.StatusOK, gin.H{
				"code": 2004,
				"msg":  "请求头中auth格式有误",
			})
			c.Abort()
			return
		}
		// parts[1]是获取到的tokenString,我们使用之前定义好的解析JWT的函数来解析它
		mc, err := ParseToken(parts[1])
		if err != nil {
			c.JSON(http.StatusOK, gin.H{
				"code": 2005,
				"msg":  "无效的Token",
			})
			c.Abort()
			return
		}
		// 将当前请求的username信息保存到请求的上下文c上
		c.Set("username", mc.Username)
		c.Next() // 后续的处理函数可以用过c.Get("username")来获取当前请求的用户信息
	}
}

注册路由

注册一个/home路由

r.GET("/home", JWTAuthMiddleware(), homeHandler)

func homeHandler(c *gin.Context) {
	username := c.MustGet("username").(string)
	c.JSON(http.StatusOK, gin.H{
		"code": 2000,
		"msg":  "success",
		"data": gin.H{"username": username},
	})
}

以上是自己定义的组件,但是咱们可以使用,使用Github上别人封装好的包,比如https://github.com/appleboy/gin-jwt。用法是直接调用API就成。

总结一下

这种方式是最为基本的,在go语言中Token。应用非常广泛。而以上的token是最为基础的Token,在官方文案里有说明这种Token名字叫access Token

我在这里简单说明一下:

访问令牌(acces Token)是用于访问受保护资源的凭据。在上面的文章中有写道。传统的访问运用的Cookie-Session的模式,但是想必大家,肯定有所耳闻,这种模式下的cookie值并不安全。在抓包工具下。会直接暴漏。

为了增加安全性,此时就需要对信息进行加密。

访问令牌(access Token)是一个是一个字符串,表示一个授权的客户端。这个字符串对于客户端来说是看不清的,无法直接识别。

令牌中间件是由资源服务器和授权强制执行服务器,授权持续时间和影响范围给所有者。

令牌的主要作用就是就是作为检索的标识符,或者,携带某种验证方式(一些数据和一个签名)(类似于校验和)。

在Token中,有一个抽象层,这个抽象层,会赋予资源服务器权限(单一实现)。这个抽象层会提供一个各种方法的验证身份的方法。

访问令牌可以具有不同的格式、结构和方法基于资源的利用率(例如,加密属性)服务器安全要求。访问令牌属性和访问受保护资源的方法不在本文的范围之内此规范和由配套规范定义。

我简单而言就是说对于token在保护信息的作用上,又可以实现类似JavaspringAOP 的拦截验证的机制。

我后续会给一个详细的Token的介绍。

GolangGin框架中如何使用JWT来实现登录认证
景天科技苑
11-01 5万+
JWT: JSON Web Token,是一种用于身份验证和授权的开放标准,JWT可以在网络应用间安全的传输。JWT由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature) JWT具有可扩展性、简单、轻量级、跨语言等优点,是前后端分离框架中最常用的验证方式。
gin框架使用JWT鉴定权限
abcnull 的博客
02-10 2419
文章目录简介引入源码代码模型router 中写法middlerware 中写法ParseToken 解析 token string => *jwt.TokensecretKey 密钥AuthClaims 结构体GenerateToken 生成 *jwt.Tokenlogin 登录后响应头设置 cookie常规 HandlerFunc 使用用户信息 简介 目前主流的 gin 的鉴权框架有 github 上的 dgrijalva/jwt-gogolang-jwt/jwt,但是 dgrijalva/
Golang Gin框架 中间件(二)常用中间件(JWT验证、限流)
weixin_44054396的博客
09-01 3632
一、JWT验证中间件 1.对比 cookie、session、tokenjwt 因为HTTP是无状态协议,无法证明切换了网页无法证明“你还是你”,所以为了能够保存一些状态或者信息,有了这些方案: cookie 由服务器生成,发送给浏览器,浏览器以键值对的方式保存下来,下次发送请求的时候带上cookie保存的信息传给客服务器。 缺点:每个域名下可使用数量少,大小也有限制。 session 由服务器生成,服务器保存主体信息,会发送一个sessionid给客户端cookie保存,下次发
gin+vue的前后端分离开源项目
08-21 1977
该项目是gin+vue的前后端分离项目,使用gorm访问MySQL,其中vue前端是使用vue-element-admin框架简单实现的; go后台使用jwt,对API接口进行权限控制。此外,Web页面在token过期后的半个小时内,用户再次操作会自动刷新token; 项目很小,适合gin新手学习!(后续有时间会补上相关教程) GitHub地址:https://gith...
Gin-Vue-Admin:一站式前后端分离开发解决方案
gitblog_00080的博客
03-19 674
Gin-Vue-Admin:一站式前后端分离开发解决方案 是一个基于 Gin 和 Vue.js 构建的强大且灵活的后台管理系统框架,旨在加速 Web 应用的开发过程。该项目整合了最新的 Web 开发技术,提供了丰富的功能组件和模板,帮助开发者快速搭建起高效、稳定的管理界面。 技术栈与架构 Gin-Vue-Admin 的核心是使用Go 语言的 Gin 框架作为后端服务器,Gin 提供了高性能和简...
Go语言Gin框架前后端分离项目开发工程化实例
码农兴哥的技术笔记
11-07 1079
Go语言Gin框架前后端分离项目开发工程化实例,后端通过模拟用户注册登录接口以及中间件校验,项目代码构建发布,前端使用Vue实现了一个简单的页面,然后调用后端接口。
vue+gin前后端分离博客系统
qq_43716830的博客
08-26 1398
源码地址:https://github.com/zzssdd/myblog
golang-gin:使用Gin框架构建Golang应用,并使用Auth0 + JWT进行身份验证
04-29
使用Gin框架构建Golang应用,并使用Auth0 + JWT进行身份验证 此存储库包含 的代码示例 文章进行 。 设置 使用您的Auth0凭据更新main.go文件。 如果没有帐户,则免费一个帐户。 使用您的Auth0凭据更新views/app.jsx...
Golang Gin框架使用JWT实现简单身份验证
一步一步滴往上爬
05-13 2108
小白文小白文小白文
gin + gorm + jwt + casbin组合实现的RBAC权限管理脚手架Golang-gin-web.zip
11-06
在本文中,我们将深入探讨如何使用GinGorm、JWT和Casbin这四个关键组件构建一个基于Golang的RBAC(Role-Based Access Control)权限管理系统。Gin是一个高效的Web框架Gorm是一个用于Go语言的ORM库,JWT(Json ...
go快速开发框架gin+vue快速开发后台管理(前后端分离),极快接口api生成器,快到不写一行代码,10秒接口就可以调用
GoFly开发者的博客
06-03 6756
​用 Go 语言基于Gin、Vue、Typescript、vite、Arco Design、MySQL等框架精心打造的一款模块化、插件化、高度自动化、高性能的前后端分离架构敏捷开发框架,可快速搭建前后端分离后台管理系统。本着简化开发、提升开发效率的初衷,框架自研了一套个性化的组件,实现了可插拔的组件式开发方式,同时为了敏捷快速开发,框架特地集成了代码生成器一键生成管理后台的前后端代码,快速开发或生成api接口代码和接口文档、测试api接口等编辑,完全自主研发了自定义GO后端服务模板和前端Vue自定义模板
Golang/Gin-JWT身份验证
qq_42887507的博客
10-10 1856
Golang/Gin-JWT身份验证前言JWT验证简介JWT验证流程JWT的组成头部载荷签证JWT-hello worldJWT在实际项目中的使用 前言 如果我们编写的api不需要验证就可以随意调用,显然是不安全的。我们需要对用户进行身份验证,根据用户身份提供服务。这时候JWT就派上用场了。 作者水平有限,有任何问题欢迎在文章下方交流! JWT验证简介 JSON Web TokenJWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。
Go语言gin框架+gorm框架项目:使用jwt发放token使用中间件实现用户认证以及以及封装http返回格式
pyscl01的博客
04-19 3028
Go语言gin框架项目:使用jwt发放token使用中间件实现用户认证以及封装http返回
golang(gin) 接入jwt使用token验证身份
刘富国的博客
06-13 8612
1)这里使用开源的 jwt-go 1.token 工具类 package handler import ( "awesomeProject/utils" "github.com/dgrijalva/jwt-go" "github.com/gin-gonic/gin" "time" ) //用户信息类,作为生成token的参数 type UserClaims struct { ID string `json:"userId"` Name string `json:"name"` P.
[golang]在Gin框架使用JWT鉴权
最新发布
weixin_30505255的博客
09-14 671
什么是JWT JWT,全称 JSON Web Token,是一种开放标准(RFC 7519),用于安全地在双方之间传递信息。尤其适用于身份验证和授权场景。JWT 的设计允许信息在各方之间安全地、 compactly(紧凑地)传输,因为其自身包含了所有需要的认证信息,从而减少了需要查询数据库或会话存储的需求。 JWT主要由三部分组成,通过.连接: Header(头部):描述JWT的元数据,通常包...
Gin jwt
JunChow
04-23 412
在线解析Token:https://jwt.io/ JWT(JSON Web Token)是为了在网路应用环境之间传递声明而执行的一种基于JSON的开放标准(RFC7519)JWT是一个非常轻巧的规范,该规范允许使用Token在客户端和服务端之间传递安全可靠的信息。 JWTToken被设计为紧凑且安全的,因此特别适用于分布式站点的单点登录(SSO)场景。JWTToken可直接被用于认证,...
Golang Gin框架搭建项目(五)jwt登录和权限验证
qq_26900081的博客
06-28 4961
1、AuthUtil.go : 用于生成和解析token 2、jwt相关配置:额外加上以下内容Golang Gin框架搭建项目(二)解析json配置文件_Bear Coding的博客-优快云博客_gin解析json 3、登录接口:不包含业务逻辑,只验证jwt功能.........
go/gin使用jwt
01-12 879
1、安装拓展包 $ go get -u github.com/dgrijalva/jwt-go 2、发放token func ReleaseToken(user *model.User) (tokenString string,err error) { expire := time.Now().Add(7 * 24 * time.Hour) claims := &Claims{ UserId: user.ID, StandardClaims: jwt.StandardClaim
Go Gin使用 JWT
u013302168的博客
08-08 1263
提供一个回调函数用于提供要选择的秘钥, 回调函数里面的token参数,是已经解析但未验证的,可以根据token里面的值做一些逻辑, 如判断kid来选用不同的secret。jwt.NewWithClaims(jwt.SigningMethodHS256, a)声明了一个签名对象, 并且指定了HS256的哈希算法。当系统接收到TOKEN时, 拿出Header和Payload的字符串用.拼接在一起之后, 用Header里面指定的哈希方法通过公式。typ则表示当前token的类型, 而JWT的类型则为jwt
利用Gin框架JWTGolang中实现身份验证
本篇内容将详细探讨如何使用Gin框架构建Golang应用,并通过结合Auth0和JWT(JSON Web Tokens)技术进行身份验证。以下是从提供的文件信息中提取的知识点。 ### Gin框架 **知识点概述** Gin是一个高性能的Go...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值