Golang:BasicAuth + JWT 校验用户权限

最新推荐文章于 2026-01-01 06:53:00 发布
原创 最新推荐文章于 2026-01-01 06:53:00 发布 · 2.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#go #jwt #basic

为什么需要权限

在平常浏览网页中,大多数网站对用户分为游客和普通用户,还有会员,那么游客浏览一些网页需要登录才能看到,普通用户查看一些帖子需要积分,而会员则像是开了一条绿色通道,什么都能访问,这就是权限的作用

使用 BasicAuth 认证

BasicAuth 是开放平台的认证方式,每次访问 API 都会携带 用户的 username 和 password 认证,那么 BasicAuth 会对 username 和 password 进行加密,那我们可以使用 PostMan 这个工具来测试 BasicAuth 的加密效果。为了测试,使用如下代码,这里,我用了echo这个框架(当然也可以使用ginirisbeego等框架)搭建了一个 login 的接口,在 login 这个接口中,我们从请求头中获取 BasicAuth 的加密信息(在 http 请求中,对请求认证的信息是放在请求头的 Authorization 中)

// main.go
package main

import (
	"fmt"

	"github.com/labstack/echo"
)

func main() {
   
   
	e := echo.New()
	e.GET("/login", login)
	e.Logger.Fatal(e.Start(":1323"))
}

func login(c echo.Context) error {
   
   
	fmt.Println(c.Request().Header.Get("Authorization"))
	return nil
}

运行这段代码,会在 1323 端口上进行监听,那么需要在 PostMan 中发起请求:

我们点击 Send 后,在运行 go 总端中会打印出, username 和 password 加密后的结果

那么我们怎么拿到加密后的用户名和密码?在 echo 框架中内置了简单 BasicAuth 中间件,我们可以直接使用官方的实例代码改造:

// 官方示例
// 这里的 username 和 password 就是我们传过来的 username 和 password
e.Use(middleware.BasicAuth(func(username, password string, c echo.Context) (bool, error) {
   
   
	// Be careful to use constant time comparison to prevent timing attacks
	if subtle.ConstantTimeCompare([]byte(username), []byte("joe")) == 1 &&
		subtle.ConstantTimeCompare([]byte(password), []byte("secret")) == 1 {
   
   
		return true, nil
	}
	return false, nil
}))

改造我们的代码:

// main.go
package main

import (
	"fmt"

	"github.com/labstack/echo"
	"github.com/labstack/echo/middleware"
)

func main() {
   
   
	e := echo.New()
	e.Use(middleware.BasicAuth(auth))
	e.GET("/login", login)
	e.Logger.Fatal(e.Start(":1323"))
}

func auth(username, password string, c echo.Context) (bool, error) {
   
   
	fmt.Println("username", username)
	fmt.Println("password", password)
	return false, nil
}

func login(c echo.Context) error {
   
   
	fmt.Println(c.Request().Header.Get("Authorization"))
	return nil
}

那么再运行代码,监听 1323 端口,再用 PostMan 发一次请求:

此时运行的结果为

我们可以看到,直接把加密的结果给解密出来了,使用 BasicAuth 中间件,解密过程就不需要我们来做了,直接交给 BasicAuth 中间件就好了。那么由于我们在 auth 中返回的是false,所以这个中间件会一直认证不通过,还会给 PostMan 返回一个 json 信息:

{
   
   
  "message": "Unauthorized"
}

之后,我们就可以使用 BasicAuth 做认证,改下 auth 的代码

func auth(username, password string, c echo.Context) (bool, error) {
   
   
	if username != "startdusk" || password != "root" {
   
   
		return false, nil
	}
	return true, nil
}

使用 BasicAuth + JWT 认证

在 BasicAuth 中直接传递用户的 username 和 password 显然是不安全的,那么用户的 username 和 password 只会在用户登录的时候传递一次,那么,可以用户登录过后给用户颁发一个令牌(这个令牌里边可以写入用户的 id 等不容易被识别的东西),然后 BasicAuth 就传递这个令牌,用户可以拿着这个令牌去访问其他接口,这样我们就避免了传递 username 和 password 的风险。
这里推荐使用 jwt-go 这个库,具体的生成 JWT 令牌代码如下:


// 拓展我们要写入token的信息
type Claims struct {
   
   
	Uid int `json:"uid"` // 扩展写入用户的id
	jwt.StandardClaims
}

func genToken(uid int) (string, error) {
   
   
	secretKey := "secretKey" // 加密的key
	expiresIn := time.Duration(24 * 30) // 设置过期时间
	claims := Claims{
   
   
		Uid: uid,
		StandardClaims: jwt.StandardClaims{
   
   
			ExpiresAt: time.Now().Add(time.Hour.Truncate(expiresIn)).Unix(),
			Issuer:    "startdusk", // 签发的用户(自定义名字)
		},
	}
	tokenClaims := jwt.NewWithClaims(jwt.SigningMethodHS256, claims) // 使用sha256进行加密claims这个结构体
	token, err := tokenClaims.SignedString([]byte(secretKey)) // 生成签名
	return token, err
}

那我们的用户请求流程变为:

更据流程,我们将 login 部分的代码修改(访问 login 也改为POST的方式):



// 定义一个用户的结构体,接收用户数据
type User struct {
   
   
	Username string `json:"username"`
	Password string `json:"password"`
}
最低0.47元/天 解锁文章
HTK217
关注
使用Golang在Gin框架中实现HTTP Basic Auth
ZwqDatabase的博客
09-24 326
请记住,这只是一种简单的身份验证机制,并不适用于高度安全的环境,因为凭据是以Base64编码的形式在请求头中发送的,而且没有使用加密机制。HTTP Basic Auth是一种基于用户名和密码的简单身份验证机制,它在HTTP请求头中使用Base64编码的用户凭据来验证用户的身份。在Golang中,我们可以使用Gin框架来实现HTTP Basic Auth,以确保只有经过身份验证的用户才能访问受保护的路由。函数从请求中获取用户提供的用户名和密码。运行我们的应用程序,可以在本地的8080端口上访问受保护的路由。
Golang】基于OAuth2.0微信扫码实现客户端用户登录(原理+代码实现+视频讲解)
Jing_Hua
07-27 6373
OAuth 2.0是一种授权协议,用于授权第三方应用访问用户资源,而无需将用户的凭据(例如用户名和密码)直接提供给第三方应用。这种授权机制为用户提供了更好的安全性,同时允许用户更好地控制他们的数据。一个关于授权的开放网络标准 允许用户授权第三方应用访问用户存储在其他服务提供者上的信息 不需要将用户名和密码提供给第三方应用资源所有者(Resource Owner):通常是指用户,拥有访问受保护资源的所有权。(资源所有者,用户)
在优快云学Golang场景化解决方案(OAuth2.0授权登录)
YKM_2580的博客
07-29 1406
OAuth2.0 定义了四种授权方式,即授权码(Authorization Code)、隐藏式(Implicit)、密码式(Resource Owner Password Credentials)和客户端凭证(Client Credentials)。OAuth 2.0 是一种用于授权的开放标准,可以让用户授权第三方应用程序访问他们存储在另一个服务提供商上的资源,例如图片、文本等。这就是 OAuth 2.0 协议的流程,可以帮助第三方应用程序安全地访问用户存储在其他服务提供商上的资源。
Golang实现更安全的HTTP基本认证(Basic Authentication)
dzqxwzoe的博客
02-21 1559
本文介绍了Go如何实现安全http基本认证,首先介绍原理,后面给出详细实现过程,最后通过curl和GOhttp客户端进行验证。详细内容参考:https://www.alexedwards.net/blog/basic-authentication-in-go
golang实现一个BasicAuth的HTTP server
ljyfree的专栏
02-25 1021
之前写的没有包含认证部分本例给出了支持BasicAuth的实现,以及如何在一个项目中导入自己定义的package。
Golang笔记
怨行客
10-18 866
协程是用户态轻量级线程协程是线程调度的基本单位通常在函数前加上go关键字就能实现并发。一个Goroutine会以一个很小的栈启动2KB或4KB,当遇到栈空间不足时,栈会自动伸缩, 因此可以轻易实现成千上万个goroutine同时启动。
基于Golang和Docker的JWT身份验证服务器
构建一个基于Go语言(Golang)开发的API服务器,结合Docker容器化部署,实现通过HTTP基本认证(Basic Authentication)对用户进行身份验证,并在验证成功后返回JSON Web Token(JWT),用于后续的身份授权机制。...
使用gin -gorm-jwt-中间件拦截的一个小项目
weixin_55418082的博客
11-19 737
这个项目主要使用了gin+gorm+jwt实现的登录注册功能,另外还通过定义中间件的方式,实现了对请求进行权限校验后放行的功能。非常适合练手。如果有新的想法也欢迎来我评论区分享一下。 目录: config/app.yml 2.helper目录 helper/helper.go 3.middlewares目录 middlewares/auth_admin.go 4.models目录 models/init.go models/UserBasic.go 5.router router/app.go 6.Serv
Go实战--golang中OAuth2.0的使用(使用google账号进行登陆验证)
热门推荐
一蓑烟雨任平生 也无风雨也无晴
09-14 2万+
生命不止,继续 go go go!!!今天继续分享golang中的认证问题,之前写过两篇:一篇是关于basic认证:Go实战–通过basic认证的http(basic authentication)一篇是关于JWT的:Go实战–golang中使用JWT(JSON Web Token)这里就介绍一下golang中使用oauth2.0.OAuth2.0OAuth2.0是OAuth协议的下一版本,但不向后
golang 访问 BasicAuth 认证的 http
大叶子不小的博客
05-13 4260
import ( "net/http" "strings" urlpkg "net/url" ) url := "http://jenkins/job/test/buildWithParameters" data := urlpkg.Values{} data.Add("SERVER_NAME", "测试服") data.Add("SERVER_URI", "refs/heads/master") data.Add("CONFIG_URI", "refs/heads/master.
Go-Auth是采用Golang开发Web模块化认证系统
08-13
Auth是采用Golang开发Web模块化认证系统,它提供了不同的认证后端来加速您的开发。
auth:了解在Golang中设置身份验证的基础知识
02-06
golang认证 要启动此应用,请按顺序执行以下步骤 将此仓库克隆到您的计算机 进入项目文件夹 输入go run main.go以启动服务器
go-gin (youtebu自学) - 第五课 --Basic Auth
baidu_23436703的博客
08-09 339
Basic Auth 新建文件middleware/basic-authpackage middleware import "github.com/gin-gonic/gin" func BasicAuth() gin.HandlerFunc { return gin.BasicAuth(gin.Accounts{ "admin": "admin", }) } 使用server.gopackage main import ( "io" "learn-gin/controller"
AuthGolang 中的模块化认证系统
最新发布
gitblog_00198的博客
01-01 509
`Auth` 是一个用于 Golang 开发的模块化认证系统,旨在为 Web 应用提供灵活且易于集成的认证解决方案。无论你是需要基本的用户名/密码认证,还是希望通过 GitHub、Google、Facebook、Twitter 等第三方平台进行认证,`Auth` 都能满足你的需求。通过简单的配置,你就可以快速地将多种认证方式集成到你的应用中,大大加速开发进程。 ## 项目技术分析 `Auth`
golang 中使用 JWT 实现登录验证
cfun_goodmorning的博客
01-12 2938
简介 JWT是json web token 具体jwt的组成,加密方式等等自行百度解决,我这里仅写实现案例: 控制器代码 package controller import ( "errors" "fmt" "gindemo/dto" "gindemo/middleware" "gindemo/middleware/jwt" "gindemo/models" "github.com...
BasicAuth认证(gin框架提供)与Go
陈戏猿
07-11 1万+
BasicAuth认证与Go Basic Auth是一种开放平台认证方式,简单的说就是需要你输入用户名和密码才能继续访问。Bath Auth是其中一种认证方式,另一种是OAuthBasic Auth认证处理简单几乎没有什么优点了,最大的缺点就是安全性低。不用说,OAuth认证方式克服了Basic Auth认证的所有缺点,并且也是目前广泛应用的。 gin框架提供了Bath Auth认证中间...
Basic Auth认证, Session/Cookie认证,JWT Token认证使用场景和优缺点分析
qq_33101689的博客
08-21 3937
Session/Cookie认证, Basic Auth认证, Token认证使用场景和优缺点分析 一. 为什么要授权认证 二. 传统Session/Cookie认证 三. Basic Auth 四. jwt token认证 四. 总结 一. 为什
golang 通过loginauth方式发送加密邮件
yevvzi的博客
09-21 1904
公司邮箱走的是873端口的加密协议,参考了一下网上的资料自己整合了一下 package main import ( "crypto/tls" "fmt" "log" "net" "net/smtp" ) // login auth认证方式 type loginAuth struct { username, password string } fun
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值