当前位置: 首页 > news >正文

[每周一更]-(第147期):使用 Go 语言实现 JSON Web Token (JWT)

news 来源:原创 2025/6/15 5:14:48

在这里插入图片描述

什么是 JSON Web Token?

JSON Web Token (JWT) 是一种开放标准(RFC 7519),用于在网络应用之间传递信息。它是一个紧凑且自包含的令牌,通常用于身份验证和授权。JWT 由三部分组成:Header(头部)、Payload(负载)和 Signature(签名),通过点号(.)连接,编码为 Base64 格式,形成如下的结构:

Header.Payload.Signature
  • Header:包含元数据,如签名算法(通常是 HMAC SHA256 或 RSA)。Base64 编码。
  • Payload:包含声明(claims),如用户ID、角色、过期时间等。Base64 编码。
  • Signature:用于验证令牌的完整性,确保未被篡改。使用密钥对 Header 和 Payload 签名

JWT 的优点包括无状态、跨域支持以及易于扩展,广泛用于 RESTful API 的身份验证。

JWT 的工作原理

  1. 生成:服务器验证用户身份后,生成 JWT(包含用户信息和签名)并发送给客户端。
  2. 传递:客户端将 JWT 存储(通常在 localStorage 或 cookie 中),并在后续请求中通过 Authorization 头(如 Bearer )发送。
  3. 验证:服务器接收 JWT,验证签名和声明(如是否过期),确认合法后处理请求。

JWT 的特点

  • 无状态:服务器无需存储令牌,验证仅依赖密钥和令牌本身,适合分布式系统。
  • 跨域支持:JWT 可在不同域名间传递,适合微服务架构。
  • 紧凑:Base64 编码使其适合 HTTP 头传输。
  • 安全性:通过签名防止篡改,但 Payload 未加密,需避免存储敏感数据。

为什么在 Go 中使用 JWT?

Go 语言以其简洁、高性能和强大的标准库而闻名,非常适合构建安全的后端服务。在 Go 中使用 JWT 可以轻松实现用户认证和授权,特别是在构建微服务或 REST API 时。

准备工作

在开始之前,确保你的环境中已安装 Go(建议版本 1.16 或更高)。我们将使用 github.com/golang-jwt/jwt 库来处理 JWT。

首先,安装该库:

go get github.com/golang-jwt/jwt/v5

创建 JWT

以下是一个简单的 Go 程序示例,展示如何生成一个 JWT 令牌。

package mainimport ("fmt""time""github.com/golang-jwt/jwt/v5"
)func main() {// 定义密钥secretKey := []byte("my-secret-key")// 创建声明(Claims)claims := jwt.MapClaims{"user_id": 123,"role":    "admin","exp":     time.Now().Add(time.Hour * 24).Unix(), // 令牌过期时间(24小时)"iat":     time.Now().Unix(),                     // 签发时间}// 创建令牌token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)// 签名令牌tokenString, err := token.SignedString(secretKey)if err != nil {fmt.Println("生成令牌失败:", err)return}fmt.Println("生成的 JWT:", tokenString)
}

代码解析

  1. 导入库:我们导入了 jwt/v5 包来处理 JWT 的创建和验证。
  2. 密钥secretKey 是用于签名和验证的密钥,必须保密且足够复杂。
  3. 声明jwt.MapClaims 是一个通用的声明类型,允许你添加自定义字段(如 user_idrole)。exp 表示过期时间,iat 表示签发时间。
  4. 签名方法:我们使用 jwt.SigningMethodHS256(HMAC-SHA256)作为签名算法。
  5. 生成令牌token.SignedString 使用密钥对令牌进行签名,生成最终的 JWT 字符串。

运行上述代码将输出一个类似以下的 JWT 字符串:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE3MjkwNzQyMzQsImlhdCI6MTcyODk4NzgzNCwicm9sZSI6ImFkbWluIiwidXNlcl9pZCI6MTIzfQ.3yXb4K5v6Qz8m9t2W1xY7Z8a9b0c1d2e3f4g5h6i7j8

验证 JWT

生成 JWT 后,服务器需要验证客户端发送的令牌是否有效。以下是一个验证 JWT 的示例:

package mainimport ("fmt""github.com/golang-jwt/jwt/v5"
)func main() {// 假设这是客户端发送的 JWTtokenString := "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE3MjkwNzQyMzQsImlhdCI6MTcyODk4NzgzNCwicm9sZSI6ImFkbWluIiwidXNlcl9pZCI6MTIzfQ.3yXb4K5v6Qz8m9t2W1xY7Z8a9b0c1d2e3f4g5h6i7j8"// 定义密钥secretKey := []byte("my-secret-key")// 解析令牌token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {// 验证签名方法if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {return nil, fmt.Errorf("意外的签名方法: %v", token.Header["alg"])}return secretKey, nil})if err != nil {fmt.Println("解析令牌失败:", err)return}// 验证令牌有效性if claims, ok := token.Claims.(jwt.MapClaims); ok && token.Valid {fmt.Println("令牌有效,声明内容:", claims)fmt.Println("用户ID:", claims["user_id"])fmt.Println("角色:", claims["role"])} else {fmt.Println("令牌无效")}
}

代码解析

  1. 解析令牌jwt.Parse 解析 JWT 字符串,并通过回调函数提供密钥。
  2. 验证签名方法:确保令牌使用的是预期算法(这里是 HS256)。
  3. 验证有效性:检查令牌是否有效(未过期、签名正确等),并提取声明内容。

如果令牌有效,程序将输出类似以下内容:

令牌有效,声明内容: map[exp:1.729074234e+09 iat:1.728987834e+09 role:admin user_id:123]
用户ID: 123
角色: admin

在 REST API 中使用 JWT

在实际应用中,JWT 通常用于保护 API 端点。以下是一个使用 Go 的 net/http 包和 gorilla/mux 路由器实现的简单 REST API 示例,包含 JWT 认证。

首先,安装 gorilla/mux

go get github.com/gorilla/mux

以下是完整的代码:

package mainimport ("encoding/json""fmt""net/http""time""github.com/golang-jwt/jwt/v5""github.com/gorilla/mux"
)var secretKey = []byte("my-secret-key")// 用户登录请求结构
type LoginRequest struct {Username string `json:"username"`Password string `json:"password"`
}// 生成 JWT 的辅助函数
func generateJWT(userID int, role string) (string, error) {claims := jwt.MapClaims{"user_id": userID,"role":    role,"exp":     time.Now().Add(time.Hour * 24).Unix(),"iat":     time.Now().Unix(),}token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)return token.SignedString(secretKey)
}// 登录处理器
func loginHandler(w http.ResponseWriter, r *http.Request) {var req LoginRequestif err := json.NewDecoder(r.Body).Decode(&req); err != nil {http.Error(w, "无效的请求", http.StatusBadRequest)return}// 简单模拟用户验证if req.Username == "admin" && req.Password == "password" {token, err := generateJWT(123, "admin")if err != nil {http.Error(w, "生成令牌失败", http.StatusInternalServerError)return}json.NewEncoder(w).Encode(map[string]string{"token": token})} else {http.Error(w, "认证失败", http.StatusUnauthorized)}
}// JWT 认证中间件
func authMiddleware(next http.Handler) http.Handler {return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {tokenString := r.Header.Get("Authorization")if tokenString == "" {http.Error(w, "缺少 Authorization 头", http.StatusUnauthorized)return}// 移除 "Bearer " 前缀if len(tokenString) > 7 && tokenString[:7] == "Bearer " {tokenString = tokenString[7:]}token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {return nil, fmt.Errorf("意外的签名方法: %v", token.Header["alg"])}return secretKey, nil})if err != nil || !token.Valid {http.Error(w, "无效的令牌", http.StatusUnauthorized)return}// 将声明存储到上下文(可选)if claims, ok := token.Claims.(jwt.MapClaims); ok {fmt.Println("用户ID:", claims["user_id"])}next.ServeHTTP(w, r)})
}// 受保护的端点
func protectedHandler(w http.ResponseWriter, r *http.Request) {json.NewEncoder(w).Encode(map[string]string{"message": "欢迎访问受保护的端点!"})
}func main() {r := mux.NewRouter()// 公开的登录端点r.HandleFunc("/login", loginHandler).Methods("POST")// 受保护的端点protected := r.PathPrefix("/protected").Subrouter()protected.Use(authMiddleware)protected.HandleFunc("", protectedHandler).Methods("GET")fmt.Println("服务器运行在 :8080")http.ListenAndServe(":8080", r)
}

代码解析

  1. 登录端点/login 接受用户名和密码,验证通过后生成 JWT 并返回。
  2. 认证中间件authMiddleware 检查请求头中的 Authorization 字段,验证 JWT 的有效性。
  3. 受保护的端点/protected 只有在提供有效 JWT 的情况下才能访问。
  4. Bearer 令牌:遵循标准的 Bearer 令牌格式,客户端需在请求头中设置 Authorization: Bearer <token>

运行程序后,你可以通过以下方式测试:

  1. 登录

    curl -X POST http://localhost:8080/login -d '{"username":"admin","password":"password"}'

    返回类似:

    {"token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."}

  2. 访问受保护端点

    curl -H "Authorization: Bearer <your-token>" http://localhost:8080/protected

    返回:

    {"message":"欢迎访问受保护的端点!"}

安全注意事项

  1. 密钥管理:永远不要将密钥硬编码在代码中。使用环境变量或密钥管理服务。
  2. HTTPS:在生产环境中使用 HTTPS 加密传输 JWT,防止中间人攻击。
  3. 过期时间:设置合理的过期时间(如 24 小时),并考虑使用刷新令牌。
  4. 验证声明:在验证 JWT 时,检查所有必要声明(如 expiat)。
  5. 避免敏感信息:不要在 Payload 中存储敏感数据(如密码),因为 Payload 只是 Base64 编码,未加密。

总结

通过 Go 语言和 github.com/golang-jwt/jwt 库,我们可以轻松实现 JWT 的生成和验证。结合 gorilla/mux 等工具,Go 非常适合构建安全的 REST API。JWT 提供了一种高效、无状态的认证机制,适合现代 Web 应用开发。

相关文章:

  • 深度学习——基于卷积神经网络的MNIST手写数字识别详解
  • 大规模异步新闻爬虫的分布式实现
  • 【Jmeter】Jmeter 高并发性能压力测试
  • orb_slam--安装配置
  • 混合云战略规划深度解析:多云管理的技术架构与治理框架
  • (题目向,随时更新)动态规划算法专题(2) --见识常见的尝试模型
  • 三维激光雷达在智慧工厂物流测量中的应用分析
  • Pytorch框架——自动微分和反向传播
  • python类成员概要
  • ChatNT-用于DNA、RNA和蛋白质任务的多模态对话代理-文献精读143
  • Unity3D仿星露谷物语开发62之添加NPC角色
  • 嵌入式PADS中元件封装绘制与实现
  • 重复的囚徒困境博弈中应该如何决策?--阿克塞尔罗德竞赛(Axelrod‘s Tournament)实验
  • 数据结构与算法:贪心(一)
  • java中的类与对象
  • QGraphicsView
  • 使用Word2Vec实现中文文本分类
  • 【均价趋势副图指标】识别洗盘,拉升,最佳潜伏点,止盈防守跟踪操盘技术图文解说
  • Emacs定制:文件管理dired
  • 2025最新版!Windows Python3 超详细安装图文教程(支持 Python3 全版本)
  • 网站开发w亿玛酷1流量订制/国外外链平台
  • 广州网站建设公司网络安全优化/站长之家查询域名
  • 产品介绍网站如何做seo/友情链接交换
  • 做短视频网站用哪家cms/深圳网络推广公司哪家好
  • 免费企业网站后台/网站alexa排名
  • 电商网站商品属性设计/哪个平台可以免费推广