四十、登陆-sessionid鉴权

最新推荐文章于 2025-12-19 14:32:02 发布

原创最新推荐文章于 2025-12-19 14:32:02 发布 · 426 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#gin #golang #开发语言 #后端 #redis

go 专栏收录该内容

40 篇文章

订阅专栏

一、将sessionID持久化

1、这里的GetAuthKey函数创建sessionID保存的key

二、完成鉴权方法Auth

三、在路由方法中增加需要鉴权的路由

四、自行测试

一、将sessionID持久化

//sessionid持久化
	authKey := utils.GetAuthKey(sessionID)
	err = c.rdb.Set(ctx, authKey, time.Now().Unix(), time.Hour*8).Err()
	if err != nil {
		fmt.Printf("rdb.Set err: %+v\n", err)
		return "", err
	}

1、这里的GetAuthKey函数创建sessionID保存的key

func GetAuthKey(sessionID string) string {
	authkey := fmt.Sprintf("session_auth:%s", sessionID)
	return authkey
}

二、完成鉴权方法Auth

func (s *SessionAuth) Auth(ctx *gin.Context) {
	sessionID := ctx.GetHeader(SessionKey)
	if sessionID == "" {
		//如果没有获取到sessionID则执行终端，并返回403错误码
		ctx.AbortWithStatusJSON(http.StatusForbidden, "session_id is empty")
	}
	authKey := utils.GetAuthKey(sessionID)
	loginTime, err := s.rdb.Get(ctx, authKey).Result()
	if err != nil && err != redis.Nil {
		//获取错误情况下中断
		ctx.AbortWithStatusJSON(http.StatusInternalServerError, "session auth error")
	}
	if loginTime == "" {
		//获取为空情况下中断
		ctx.AbortWithStatusJSON(http.StatusUnauthorized, "session auth failed")
	}
	//能够正常获取sessionid的情况下继续执行
	ctx.Next()
}

三、在路由方法中增加需要鉴权的路由

session := newSessionAuth()

//需要鉴权
root := r.Group(rootPath).Use(session.Auth)

四、自行测试

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Boo_T

关注关注

3
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

三十九、登陆-sessionid持久化

Boo_T的博客

09-14

494

【代码】三十九、登陆-sessionid持久化。

授权和鉴权

sjy8207380的专栏

02-28

1万+

1，前言在这里总结一下工作中遇到的鉴权和授权的方法 ① 固定token的方案通过在nginx或者代码中写死token，或者通过在限制外网访问的方式已来达到安全授权的方式 ② session方案分布式会话方案原理主要是将关于用户认证的信息存储在共享存储中。当用户访问微服务时，用户数据可以从共享存储中获取。 ③ 客户端token方案例如JWT，令牌在客户端生成，由身份验证服务进行...

参与评论您还未登录，请先登录后发表或查看评论

前后端常见的几种鉴权方式

热门推荐

wang839305939的博客

01-03

11万+

常见的授权四种授权方式HTTP Basic Authentication，session-cookie,token(jwt)，OAuth(开放授权)

开放平台中的鉴权的实现

HEL_WOR的博客

06-14

2万+

转载请注明：http://blog.youkuaiyun.com/HEL_WOR/article/details/51660979 在描述鉴权和流控之前，可能需要先描述为什么需要搭建开放平台。开放平台最先由FB推出，而后在2012年左右，国内比较大型的互联网公司都开始搭建自己的开放平台。搭建属于自己的开放平台的原因，一般是以下几点：1.借助第三方满足用户的零碎需求 2.借助第三方提升自己的影响力 3.作为渠

鉴权的四种方式

Raily_Qi的博客

12-24

6378

前后端常见的几种鉴权方式 HTTP Basic Authentication session-cookie Token OAuth HTTP Basic Authentication session-cookie Token token 是一个令牌，浏览器第一次访问服务端时会签发一张令牌，之后浏览器每次携带这张令牌访问服务端就会认证该令牌是否有效，只要服务端可以解密该令牌，就说明请求是合法的，...

登录功能-鉴权-session

qq_33879443的博客

12-07

670

随笔--鉴权机制 && session

weixin_42910765的博客

07-20

540

单点登录： https://www.cnblogs.com/ywlaker/p/6113927.html SSO一般都需要一个独立的认证中心（passport），子系统的登录均得通过passport，子系统本身将不参与登录操作，当一个系统成功登录以后，passport将会颁发一个令牌给各个子系统，子系统可以拿着令牌会获取各自的受保护资源，为了减少频繁认证，各个子系统在被passport授权以后，会建立一个局部会话，在一定时间内可以无需再次向passport发起认证。 session-cookie 这个方式是

Cookie Session Token 鉴权的区别和原理

m0_65431718的博客

07-07

1296

令牌。最简单的token组成: uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名，以哈希算法压缩成一定长的十六进制字符串）。从本质上讲 JWT 也是一种 token，只不过 JWT 是被大家广泛接受的标准。JWT 即：Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。

用户认证模式Cookie-Session、JWT-Token（gin框架实现）

m0_53328239的博客

07-24

872

在Web应用发展的初期，大部分采用基于Cookie-Session的会话管理方式客户端使用用户名、密码进行认证服务端验证用户名、密码正确后生成并存储Session，将SessionID通过Cookie返回给客户端客户端访问需要认证的接口时在Cookie中携带SessionID服务端通过SessionID查找Session并进行鉴权，返回给客户端需要的数据鉴于基于Session的会话管理方式存在上述的多个缺点，基于Token的无状态（服务端不存储信息）会话方式诞生了。

Gin中使用jwt-go实现JWT鉴权登陆

mjiarong的博客

10-01

2777

JWT全称Json web token ，是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范，是目前最流行的跨域身份验证解决方案。JWT基于token的鉴权机制类似于http协议也是无状态的，它不需要在服务端去保留用户的认证信息或者会话信息，一旦用户完成了登陆，在接下来的每个请求中都会包含JWT，可以用来验证用户身份以及对路由，服务和资源的访问权限的验证。由于它的开销非常小，可以轻松的在不同域名的系统中传递，这也为应用的扩展提供了便利。JWT 以 JSON 对象的形式安全传递信息。

SpringCloud-Feign，Hystrix，Gateway（请求路由-跨域-限流-过滤器鉴权）

demo小王子

03-14

1707

SpringCloud Feign声明式服务调用 Feign底层依赖于Ribbon来实现负载均衡和远程调用简化远程调用：不再使用RestTemplate来完成RPC,而是使用Feign接口消费端客户端引入open-feign依赖  <dependency> <groupId>org.springframework.cloud</groupId> <arti

认证鉴权技术解析：COOKIE | SESSION | TOKEN | JWT | SSO

所有成功的背后，都是痛苦的坚持，所有的痛苦，都是傻瓜般的不放弃!

07-09

789

认证鉴权中会反复提到COOKIE、SESSION、TOKEN、JWT、SSO，你能说出他们之间的区别与联系么？1、Cookie → Session（状态服务端化） → Token（无状态化） → JWT（标准化） → SSO（多系统集成）如果需要存储大量数据，可以考虑使用其他浏览器存储方式，例如localStorage或sessionStorage；：企业内网中，登录OA系统后无需再输入密码即可访问CRM、财务系统。HTTP 协议天然无状态，每次请求独立，无法自动关联用户身份。：用户登录后，服务端返回。

Gin 入门指南 Swagger aipfox集成

吴佳浩的博客分享记录前沿技术

12-19

795

Gin框架集成Swagger指南本文详细介绍了如何在Gin框架中集成Swagger文档工具，包括环境准备、代码实现和文档生成三个主要部分。首先通过安装swag命令行工具和相关依赖完成环境配置，然后展示了标准项目结构和数据模型定义。在代码实现部分，重点说明了如何添加Swagger注释、配置主程序路由以及生成API文档。文章还提供了Mock数据配置方法和最佳实践建议，如统一错误处理和跨域配置。通过访问/swagger/index.html即可查看自动生成的交互式API文档，大大提升了API开发效率和使用体验。

Gin框架入门篇002_第一个Gin服务

ChineHe的博客

12-16

174

源自Gin官网的第一个Gin服务教程

基于Gin+GORM+Casbin的权限管理系统设计与实现

ztt123654的博客

12-17

400

基于Gin+GORM+Casbin+Vue.js的权限管理系统是一个采用前后端分离架构的企业级权限管理解决方案，专为软件工程和计算机科学专业的毕业设计项目开发。该系统基于Go语言构建后端服务，结合Vue.js前端框架，实现了完整的权限控制和管理功能，适用于各类需要精细化权限管理的应用场景。系统后端采用Gin作为Web框架，提供高性能的HTTP服务；使用GORM作为ORM框架，简化数据库操作；集成Casbin实现灵活的权限控制模型。前端基于vue-element-admin模板开发，提供现代化的用户界面和

golang 发送内网邮件和外网邮件

刘永年

12-16

819

Go语言Email包简介一个功能强大的Go语言邮件发送库，支持SMTP/TLS加密发送，具有以下特性：支持纯文本/HTML格式邮件基于域名的智能SMTP配置管理并发发送机制提升批量邮件效率完善的错误处理和配置验证提供TLS加密支持（465/587端口）安装简单：go get github.com/liu-dc/email。支持多域名配置、自动选择SMTP服务器，并包含详细的API文档和示例代码，适合各类邮件发送需求。

Go 实战： “接口 + 结构体” 模式

最新发布

m0_73884648的博客

12-19

651

本文深入解析Go语言中"接口+结构体"模式在企业开发中的应用。该模式通过接口定义行为契约，结构体实现具体逻辑，采用隐式实现机制实现解耦。文章详细阐述了标准实现方式（包含依赖注入）、简化场景（空结构体+全局实例）以及分层架构中的应用（如Controller→Logic→DAO）。重点指出：接口必须被完整实现、优先使用指针接收者、保持接口最小化等关键细节。这种模式分离了不变的行为定义和可变的实现，使代码兼具灵活性和可维护性，是Go企业级开发的核心设计思路。

Go语言Gin框架项目：从零到一搭建一个“反转语录”生成网站

数据知道的博客

12-17

276

本文介绍了一个使用Go语言开发的Web应用项目，主要功能是模拟AI生成反转语录并存储到MySQL数据库。项目采用Gin框架搭建Web服务器，使用GORM进行数据库操作，实现前后端分离的API设计。主要内容包括：1) 环境准备和项目初始化步骤；2) 数据模型定义；3) AI生成器服务实现；4) 主程序核心逻辑。项目结构清晰，包含环境变量配置、数据库连接、路由设置等功能模块，适合Go语言初学者学习Web开发实践。

go与c# 及nats和rabbitmq交互

Henry_Wu001的专栏

12-17

257

相对于 C# Epoch (0001-01-01 00:00:00 UTC) 的固定偏移量。go的计时起点:Unix Epoch (1970-01-01 00:00:00 UTC)2）masstransit的exchange类型，publish和send到队列。c#中 send到队列没有成功,但用publish到一个新的类型成功了；C# 的时间起点：0001年1月1日 00:00:00 UTC。

认证登陆鉴权架构

03-14

<think>好的，我现在需要帮助用户了解认证、登录和鉴权的架构设计，并且根据提供的引用内容来整理回答。首先，我得理清认证、登录和鉴权这三个概念的区别和联系。认证是验证用户身份，登录是用户进入系统的过程，而鉴权则是确定用户是否有权限访问资源。接下来，我需要结合用户提供的引用内容来构建一个清晰的架构设计方案。引用[1]提到登录验证是鉴权系统的第一步，也是最简单的一步。这说明在设计鉴权系统时，登录验证是基础，需要先处理用户身份的确认。引用[2]和[3]则讨论了单点登录（SSO）和微服务中的Token鉴权，尤其是使用网关统一处理鉴权，这可以作为架构设计的重要部分。引用[4]和[5]提到了Token注销的问题以及网关在鉴权中的作用，需要考虑到令牌管理的有效性和网关层的统一处理。首先，我需要明确整个流程：用户登录时如何认证，认证成功后如何生成令牌，令牌如何在各个子系统或服务之间传递和验证。然后，鉴权的部分需要设计权限模型，比如RBAC（基于角色的访问控制）或ABAC（基于属性的访问控制），并结合网关统一鉴权来减少各服务的负担。接下来要考虑的是架构的分层设计，可能包括认证中心、网关层、业务服务层。认证中心处理用户认证并颁发Token，网关负责统一鉴权，验证Token的有效性并转发请求到对应的服务。业务服务则无需处理鉴权逻辑，只需信任网关传递的信息。还需要考虑安全性，比如Token的存储、传输加密、刷新机制以及注销问题。引用[4]提到Token注销的困难，可能需要引入令牌黑名单或者短时效的Token结合刷新令牌来解决。同时，引用[5]强调网关层处理鉴权，使得业务服务透明，这样的设计可以减少重复工作，提高系统的可维护性。此外，单点登录（SSO）的实现需要独立的认证中心，各子系统通过该中心进行登录，引用[2]详细描述了这一过程，包括全局会话和局部会话的创建，以及Token的分发。这部分需要整合到架构设计中，确保多个系统间的无缝认证。最后，需要总结常见的实现方案，比如JWT、OAuth2、OpenID Connect等技术，并结合引用中的例子，如Spring Cloud Gateway和Feign的内部调用，说明如何在微服务架构中应用这些技术。同时，要提到未来的扩展方向，如高可用性、分布式会话管理、多因素认证等，以展示系统的可扩展性和安全性。在回答过程中，要确保使用正确的中文术语，结构清晰，分点说明，并且自然地引用提供的参考资料。同时，按照用户的要求生成相关问题，这些问题应该覆盖架构设计的各个方面，帮助用户深入理解每个部分。</think>### 认证、登录与鉴权架构设计解析 #### 一、核心概念区分 1. **认证（Authentication）** 验证用户身份的过程，例如通过用户名密码、短信验证码、生物识别等方式确认用户身份[^1]。 2. **登录（Login）** 用户发起认证请求并建立会话（Session）或令牌（Token）的交互流程。 3. **鉴权（Authorization）** 在认证基础上，判断用户是否有权限访问特定资源或操作，例如基于角色或权限标签的访问控制。 --- #### 二、典型架构设计方案 ##### 方案1：统一网关鉴权（适合微服务架构） - **架构分层** - **认证中心**：负责用户身份核验，生成令牌（如JWT），支持SSO单点登录[^2][^5]。 - **网关层**（如Spring Cloud Gateway）：统一拦截请求，验证Token有效性，解析用户身份并转发至下游服务[^3]。 - **业务服务**：仅处理业务逻辑，依赖网关传递的鉴权结果（如用户ID、角色）。 ```plaintext 用户 → 网关（鉴权） → 微服务（业务处理） ``` - **Token管理** - 使用短时效Access Token + 长时效Refresh Token组合，减少令牌泄露风险。 - Token注销依赖网关层维护黑名单或强制Token失效[^4]。 ##### 方案2：独立SSO认证中心（适合多子系统场景） - **流程示例** 1. 用户访问子系统A，跳转至SSO认证中心登录。 2. 认证中心验证身份后颁发全局Token，并重定向回子系统A。 3. 子系统A通过Token向认证中心申请局部会话（如Cookie），完成登录[^2]。 - **特点** - 所有子系统共享认证状态，避免重复登录。 - 依赖Token传递和加密协议（如OAuth2、OpenID Connect）。 --- #### 三、关键实现技术 1. **令牌标准** - **JWT**：自包含Token，包含用户信息与签名，减少服务端状态存储。 - **OAuth2**：适用于第三方授权（如微信登录）。 - **Session-Cookie**：传统方案，需配合分布式Session存储（如Redis）。 2. **权限模型** - **RBAC**（基于角色）：用户-角色-权限三级映射。 - **ABAC**（基于属性）：动态规则（如时间、IP地址）控制访问。 3. **安全增强** - HTTPS加密传输。 - 多因素认证（MFA）。 - 风险检测（异常登录提醒）。 --- #### 四、挑战与优化方向 1. **Token注销问题** - 网关维护Token黑名单（需考虑性能）[^4]。 - 缩短Token有效期，依赖Refresh Token轮换[^5]。 2. **分布式会话一致性** - 使用Redis集群存储Session或Token状态。 - 无状态JWT方案减少服务端依赖。 3. **高可用性** - 认证中心与网关层需集群部署，避免单点故障。 - 熔断机制（如Hystrix）防止鉴权服务雪崩。 ---