JSON Web Tokens (JWT)是一種流行的安全方法,用于在兩個方之間表示聲明。在Web應(yīng)用程序領(lǐng)域,它們通常用作從客戶端向服務(wù)器傳輸身份信息(聲明)的方式。本教程將引導(dǎo)您逐步實(shí)現(xiàn)Go應(yīng)用程序中的JWT身份驗證過程。
什么是JWT?
JSON Web Token (JWT)是一種緊湊且URL安全的方式,用于在兩個方之間傳輸聲明。JWT中的聲明被編碼為一個JSON對象,并使用JSON Web Signature (JWS)進(jìn)行數(shù)字簽名。
JWT通常的格式為:xxxxx.yyyyy.zzzzz
- 頭部:頭部(xxxxx)通常由兩部分組成:令牌類型JWT和簽名算法。
- 負(fù)載:負(fù)載(yyyyy)包含了聲明。聲明是關(guān)于主題(用戶)的陳述。
- 簽名:要創(chuàng)建簽名(zzzzz)部分,您需要使用編碼后的頭部、編碼后的負(fù)載、一個密鑰以及頭部中指定的算法進(jìn)行簽名。
Go環(huán)境設(shè)置
首先,您需要一個用于在Go中處理JWT的軟件包。我們將使用github.com/golang-jwt/jwt軟件包。[1]
在Go中生成JWT
讓我們創(chuàng)建一個生成JWT的函數(shù):
package main
import (
"fmt"
"github.com/golang-jwt/jwt/v4"
"time"
)
var mySigningKey = []byte("secretpassword")
func GenerateJWT() (string, error) {
token := jwt.New(jwt.SigningMethodHS256)
claims := token.Claims.(jwt.MapClaims)
claims["authorized"] = true
claims["user"] = "John Doe"
claims["exp"] = time.Now().Add(time.Minute * 30).Unix()
tokenString, err := token.SignedString(mySigningKey)
if err != nil {
fmt.Errorf("Something went wrong: %s", err.Error())
return "", err
}
return tokenString, nil
}
在Go中驗證JWT
現(xiàn)在,讓我們驗證JWT:
func ValidateToken(tokenString string) (*jwt.Token, error) {
token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
return nil, fmt.Errorf("There was an error")
}
return mySigningKey, nil
})
if err != nil {
return nil, err
}
return token, nil
}
在Go Web應(yīng)用程序中使用JWT進(jìn)行身份驗證
以下是一個簡單示例,在Go的HTTP服務(wù)器中集成了JWT生成和驗證:
package main
import (
"fmt"
"log"
"net/http"
)
func HomePage(w http.ResponseWriter, r *http.Request) {
validToken, err := GenerateJWT()
if err != nil {
fmt.Fprintf(w, err.Error())
}
clientToken := r.Header.Get("Token")
if clientToken != validToken {
w.WriteHeader(http.StatusUnauthorized)
fmt.Fprintf(w, "Token is not valid")
return
}
fmt.Fprintf(w, "Hello, World!")
}
func handleRequests() {
http.HandleFunc("/", HomePage)
log.Fatal(http.ListenAndServe(":9000", nil))
}
func main() {
handleRequests()
}
使用此設(shè)置:
- 服務(wù)器在訪問主頁時創(chuàng)建一個JWT。
- 要進(jìn)行驗證,客戶端需要在標(biāo)頭“Token”中發(fā)送相同的JWT。
- 這只是一個基本示例。在實(shí)際情況中,您會在登錄后生成一個令牌,并在每個需要身份驗證的請求上進(jìn)行檢查。
總結(jié)
JWT提供了一種強(qiáng)大而靈活的方法來處理Web應(yīng)用程序中的身份驗證和授權(quán)。在Go中,借助像github.com/golang-jwt/jwt[2]這樣的軟件包,實(shí)現(xiàn)基于JWT的身份驗證非常簡單。但請記住,始終保持您的簽名密鑰保密,并在生產(chǎn)應(yīng)用程序中使用安全的方法,最好是RSA,以增加安全性。