golang-jwt实现用户登陆验证

最新推荐文章于 2025-06-14 16:22:31 发布
最新推荐文章于 2025-06-14 16:22:31 发布
阅读量732 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: go-插件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39787367/article/details/112609768
本文详细介绍了JWT的构成,包括头部的加密算法说明,有效负载中的用户信息和过期时间,以及如何使用HS256算法生成和校验JWT。通过示例和代码展示了如何利用jwt-go库进行JWT操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

JWT

一个JWT由三部分组成,头部、载荷与签名。

1、头部

用于说明签名的加密算法等,下面类型的json经过base64编码后得到JWT头部

{
  "typ": "JWT",
  "alg": "HS256"
}

type : 加密的名称

alg : 加密的方式,默认sha256

2、有效负载

包含生成Token时间,过期时间,以及一些身份标识,标准定义了6个字段,载荷json经过base64编码后得到JWT的载荷:

sub: 该JWT所面向的用户
iss: 该JWT的签发者
iat(issued at): 在什么时候签发的token
exp(expires): token什么时候过期
nbf(not before):token在此时间之前不能被接收处理
jti:JWT ID为web token提供唯一标识

一版是存储用户名和过期时间等等信息,用于后续验证

{
    "sub": "1",
    "iss": "http://localhost:8000/user/sign_up",
    "iat": 1451888119,
    "exp": 1454516119,
    "nbf": 1451888119,
    "jti": "37c107e4609ddbcc9c096ea5ee76c667"
}

3、签名

将头部和有效载核用.连接,再加上一串密钥,经过头部声明的加密算法加密后得到的签名

HMACSHA256(
    base64UrlEncode(header) + "." +
    base64UrlEncode(payload),
    secret
)

4、JWT Token

Token=头部+'.'+载荷+'.'+签名

实现包

https://github.com/dgrijalva/jwt-go

1、生成token

依赖注入好token的实体

选择加密方式,然后加密拼接

type Claims struct {
	Username string `json:"username"`
	jwt.StandardClaims
}
var claims = &Claims{Username:"aaa"}
token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	// Create the JWT string
	tokenString, err := token.SignedString(jwtKey)
	if err != nil {
		// If there is an error in creating the JWT return an internal server error
		w.WriteHeader(http.StatusInternalServerError)
		return
	}

在这里插入图片描述

2、jwt校验

type Claims struct {
	Username string `json:"username"`
	jwt.StandardClaims
}
var claims = Claims
tkn, err := jwt.ParseWithClaims(tknStr, claims, func(token *jwt.Token) (interface{}, error) {
		return jwtKey, nil
	})
	if err != nil {
		if err == jwt.ErrSignatureInvalid {
			w.WriteHeader(http.StatusUnauthorized)
			return
		}
		w.WriteHeader(http.StatusBadRequest)
		return
	}
	if !tkn.Valid {
		w.WriteHeader(http.StatusUnauthorized)
		return
	}

基本数据结构

上面是签名的使用例子,下面分析签名的源码实现,首先看下数据结构Token,包含了我们标准中说道的三部分:头部,载荷和签名,此外还带了一个用于存储生成token的字段Raw和校验标识符Valid

// A JWT Token.  Different fields will be used depending on whether you're



// creating or parsing/verifying a token.



type Token struct {



	Raw       string                 // The raw token.  Populated when you Parse a token



	Method    SigningMethod          // The signing method used or to be used



	Header    map[string]interface{} // The first segment of the token



	Claims    Claims                 // The second segment of the token



	Signature string                 // The third segment of the token.  Populated when you Parse a token



	Valid     bool                   // Is the token valid?  Populated when you Parse/Verify a token



}

看下载荷,多了一个字段Audience

// Structured version of Claims Section, as referenced at



// https://tools.ietf.org/html/rfc7519#section-4.1



// See examples for how to use this with your own claim types



type StandardClaims struct {



	Audience  string `json:"aud,omitempty"`



	ExpiresAt int64  `json:"exp,omitempty"`



	Id        string `json:"jti,omitempty"`



	IssuedAt  int64  `json:"iat,omitempty"`



	Issuer    string `json:"iss,omitempty"`



	NotBefore int64  `json:"nbf,omitempty"`



	Subject   string `json:"sub,omitempty"`



}

API介绍

初始化API

提供了两个API,一个只需提供加密方法,一个需要提供加密方法和载荷结构对象

// Create a new Token.  Takes a signing method



func New(method SigningMethod) *Token {



	return NewWithClaims(method, MapClaims{})



}



 



func NewWithClaims(method SigningMethod, claims Claims) *Token {



	return &Token{



		Header: map[string]interface{}{



			"typ": "JWT",



			"alg": method.Alg(),



		},



		Claims: claims,



		Method: method,



	}



}

生成签名API

如标准所说,主要是将头部和载荷部分的结构对象转化为json格式,然后用base64编码,然后用’.‘号连接,然后使用指定加密方法生成签名,再与前面的头部和载荷用’.'号连接

// Get the complete, signed token



func (t *Token) SignedString(key interface{}) (string, error) {



	var sig, sstr string



	var err error



	//把头部和载荷转化为json格式,base64编码之后用'.'号连接起来



	if sstr, err = t.SigningString(); err != nil {



		return "", err



	}



	//使用指定的加密方法生成签名



	if sig, err = t.Method.Sign(sstr, key); err != nil {



		return "", err



	}



	return strings.Join([]string{sstr, sig}, "."), nil



}

头部和载荷数据结构对象的处理:

// Generate the signing string.  This is the
// most expensive part of the whole deal.  Unless you
// need this for something special, just go straight for
// the SignedString.
func (t *Token) SigningString() (string, error) {
	var err error
	parts := make([]string, 2)
	for i, _ := range parts {
		var jsonValue []byte
		if i == 0 {
			if jsonValue, err = json.Marshal(t.Header); err != nil {
				return "", err
			}
		} else {
			if jsonValue, err = json.Marshal(t.Claims); err != nil {
				return "", err
			}
		}

		parts[i] = EncodeSegment(jsonValue)

	}

	return strings.Join(parts, "."), nil
}

校验API

检验Token基本就是生成Token的逆过程了,也提供了两个API:

// Parse, validate, and return a token.
// keyFunc will receive the parsed token and should return the key for validating.
// If everything is kosher, err will be nil
func Parse(tokenString string, keyFunc Keyfunc) (*Token, error) {
	return new(Parser).Parse(tokenString, keyFunc)
}



 



func ParseWithClaims(tokenString string, claims Claims, keyFunc Keyfunc) (*Token, error) {



	return new(Parser).ParseWithClaims(tokenString, claims, keyFunc)



}
Golang】Gin框架中如何使用JWT实现登录认证
景天科技苑
11-01 5万+
JWT: JSON Web Token,是一种用于身份验证和授权的开放标准,JWT可以在网络应用间安全的传输。JWT由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature) JWT具有可扩展性、简单、轻量级、跨语言等优点,是前后端分离框架中最常用的验证方式。
Golang领域JWT实现用户认证的新选择
Golang编程笔记的博客
05-13 1002
本文旨在为Golang开发者提供一套完整的JWT实现方案,覆盖从基础概念到高级应用的全方位内容。JWT的核心原理和结构GolangJWT的生成和验证实现安全最佳实践和常见漏洞防范在微服务架构中的实际应用文章从基础概念开始,逐步深入到实现细节和应用场景。我们将先介绍JWT的基本原理,然后展示Golang中的具体实现,最后探讨高级主题和最佳实践。: 一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象Token: 用于认证和授权的凭证Claim。
实战——golang实现JWT验证登录
qq_42215697的博客
09-18 1212
g
JWT实现用户认证原理与实现golang
cbmljs的博客
01-09 2014
1 JWT标准规范 JWT(JSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT用户和服务器之间传递安全可靠的信息。 一个JWT由三部分组成,头部、载荷与签名。 JWT原理类似我们加盖公章或手写签名的的过程,合同上写了很多条款,不是随便一张纸随便写啥都可以的,必须要一些证明,比如签名,比如盖章。JWT就是通过附加签名,保证传输过来的信息是真的,而不是伪造的。 头部...
golang jwt生成与解析
最新发布
xabtltpc8的博客
06-14 346
golang-jwt是go语言中用来生成和解析jwt的一个第三方库,早先版本也叫jwt-go。本文中使用目前最新的v5版本。
[golang] 实现 jwt 方式登录
咸鱼老罗的博客
02-13 1122
JSON Web Token(缩写 JWT)是目前流行的跨域认证解决方案,原理是生存的凭证包含标题 header,有效负载 payload 和签名组成。用户信息payload中,后端接收时只验证凭证是否有效,有效就使用凭证中的用户信息。签名是通过标题 header,有效负载 payload 和密钥(后端保存,不可泄露)生成。JWT 介绍:https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html。
golang服务器后端服务:JWT+Redis实现用户登录验证
Mirage
02-22 7862
redis存储: // 构建redis用户数据 rdsData := make(map[string]interface{}, 3) rdsData["user"] = user //用户信息的结构体 models.User rdsData["pkY"] = pk.KeyY //jwt ECDSA解析需要用到的KeyY rdsData["prodId&q
Go语言使用golang-jwt/jwt/v4进行JWT鉴权
反方向的周-博客
12-22 8985
文章目录1.什么是JWT2.JWT的数据结构2.1 Header2.2 Payload2.3 Signature2.4 Base64URL3使用JWT安装生成Token参考: 最近写的项目中用到了JWT鉴权,因此做个记录 原先的jwt-go仓库已经不再维护,迁移到了github.com/golang-jwt/jwt/v4 但是网上大多数还是v3版本的使用教程,建议使用更加安全的v4 1.什么是JWT JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方
golang-jwt
qq_27664967的博客
07-15 679
golang-jwt 安装 go get -u github.com/golang-jwt/jwt 使用 package ** import ( "fmt" "github.com/golang-jwt/jwt" "log" "time" ) //自定义存储的信息 type CustomerInfo struct { Name string } type CustomClaimsExample struct { *jwt.StandardClaims TokenType string
golang-auth-jwt:golang-auth-jwt
03-30
golang-auth-jwt 你好呀 提出后端Golang + Auth中间件+ JWT,MYSQL 包裹 运行-u github.com/dgrijalva/jwt-go 去运行-u github.com/gin-gonic/gin 环保 SECRET_KEY =“ ......” 功能 登入 报名 刷新令牌 登出 ...
golangJWT实现的示例代码
01-19
什么是JSON Web Token? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON方式安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 直白的讲jwt就是一种用户认证(区别于session、cookie)的解决方案。 出现的背景 众所周知,在jwt出现之前,我们已经有session、cookie来解决用户登录等认证问题,为什么还要jwt呢? 这里我们先了解一下session,cookie。 sessi
golang 实现 json web token
架构师实战感悟
11-18 9870
json web token 简介 json web token 简称 jwt.他是一种轻量级的规范.这种规范允许客户端和服务端之间传递一些非敏感信息. 常用于用户认证和授权系统. jwt组成部分 Header Claims Signature Header 组成部分typ: "JWT", alg: "HS256", 1. typ是默认的一种标识.标识这条信息采用JWT规范.
Golang 一日一库之jwt-go
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
04-11 1607
本文地址 https://www.cnblogs.com/zichliang/p/17303759.html github地址:https://github.com/dgrijalva/jwt-go 何为 jwt token? 什么是JSON Web Token? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JS...
golang整合jwt
weixin_49132888的博客
08-13 535
下载包直接上代码。
JWT原理及Golang语言的简单应用
Liing0的博客
01-12 2445
JWT原理及Golang语言的简单应用高能预警正文关于JWT分解JWTJWT第一部分:HeaderJWT第二部分:PayloadJWT第三部分:Signature小结附图 高能预警 本文参考JWT官方网站介绍:jwt.io 本文引用Golang库:github.com/dgrijalva/jwt-go 正文 关于JWT JWT 全名 Json Web Token,顾名思义:即 用于Web传输 加密的JSON对象过程时的令牌。 一般是这样形状的: eyJhbGciOiJIUzI1NiIsInR5cCI6
GO引用包
GKoSon的博客
03-25 894
当前状态 1 2 module github.com/GKoSon/zip go 1.17 require github.com/looklzj/zip v0.0.0-20200513090408-42298eb91930 require ( github.com/alexmullins/zip v0.0.0-20180717182244-4affb64b04d0 // indirect golang.org/x/crypto v0.0.0-20220214200702...
golang 中使用 JWT 实现登录验证
cfun_goodmorning的博客
01-12 2902
简介 JWT是json web token 具体jwt的组成,加密方式等等自行百度解决,我这里仅写实现案例: 控制器代码 package controller import ( "errors" "fmt" "gindemo/dto" "gindemo/middleware" "gindemo/middleware/jwt" "gindemo/models" "github.com...
golang JWT包 token验证
LLLLL2025的博客
10-15 4390
介绍 JWT: json web token,是一种规范 由三部分组成 Header 头部 PayLoad 有效载荷 Signature 签名 使用 . 来连接上面的3部分 “Token” : Header+"."+PayLoad+"."+Signature Header Header的作用是用来表明签名所使用的加密算法 { "typ":"JWT", "alg":"HS256"l...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

a...Z

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值