一文詳解如何在Golang中實現(xiàn)JWT認(rèn)證與授權(quán)

更新時間：2025年03月10日 09:39:31 作者：qq_18665023

在現(xiàn)代Web應(yīng)用中,安全性是一個非常重要的課題,JWT作為一種常用的認(rèn)證與授權(quán)機(jī)制,已被廣泛應(yīng)用于各種系統(tǒng)中,下面我們就來看看如何在Golang中實現(xiàn)JWT認(rèn)證與授權(quán)吧

在現(xiàn)代Web應(yīng)用中，安全性是一個非常重要的課題。JWT（JSON Web Token）作為一種常用的認(rèn)證與授權(quán)機(jī)制，已被廣泛應(yīng)用于各種系統(tǒng)中。它的優(yōu)勢在于輕量級、跨平臺，并且非常適合分布式系統(tǒng)。在本文中，我們將通過Golang實現(xiàn)JWT認(rèn)證與授權(quán)，幫助你構(gòu)建更安全的API。

什么是JWT？

JWT（JSON Web Token）是一種開放標(biāo)準(zhǔn)（RFC 7519），用于在網(wǎng)絡(luò)應(yīng)用環(huán)境間以一個簡短的字符串安全地傳輸信息。JWT通常用于用戶認(rèn)證和授權(quán)，它由三個部分組成：

1.頭部（Header）：通常包含兩部分信息，類型（JWT）和簽名算法（如HMAC SHA256或RSA）。

2.有效載荷（Payload）：包含我們要傳遞的數(shù)據(jù)，通常是用戶的身份信息或權(quán)限等。

3.簽名（Signature）：確保消息的完整性和防止篡改。它是通過頭部和有效載荷用私鑰簽名生成的。

JWT的結(jié)構(gòu)如下：

header.payload.signature

為什么選擇JWT？

無狀態(tài)性：JWT是自包含的，因此不需要存儲會話信息，適合分布式系統(tǒng)。

跨平臺：JWT的結(jié)構(gòu)標(biāo)準(zhǔn)化，幾乎所有語言都可以生成和解析JWT。

靈活性：可以將任意信息存儲在JWT中，如用戶ID、權(quán)限、過期時間等。

在Golang中實現(xiàn)JWT認(rèn)證與授權(quán)

1. 安裝所需的庫

我們將使用github.com/dgrijalva/jwt-go庫來生成和驗證JWT。首先，使用go get安裝該庫：

go get github.com/dgrijalva/jwt-go

2. 創(chuàng)建JWT生成與解析功能

我們將創(chuàng)建一個簡單的JWT生成和驗證模塊，允許用戶通過用戶名和密碼登錄，并獲取一個JWT進(jìn)行后續(xù)請求。

生成JWT

在auth.go文件中，編寫JWT生成函數(shù)：

package main
 
import (
    "github.com/dgrijalva/jwt-go"
    "time"
    "log"
)
 
// 密鑰用于簽名和驗證JWT
var jwtKey = []byte("secret")
 
// 用戶信息結(jié)構(gòu)體
type Claims struct {
    Username string `json:"username"`
    jwt.StandardClaims
}
 
// 生成JWT
func GenerateJWT(username string) (string, error) {
    expirationTime := time.Now().Add(1 * time.Hour) // 設(shè)置JWT過期時間為1小時
    claims := &Claims{
        Username: username,
        StandardClaims: jwt.StandardClaims{
            ExpiresAt: expirationTime.Unix(),
        },
    }
 
    // 創(chuàng)建一個新的JWT對象，使用HMAC SHA256算法簽名
    token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
 
    // 使用密鑰簽名并返回生成的JWT字符串
    return token.SignedString(jwtKey)
}

解析JWT

然后，編寫JWT解析函數(shù)，驗證其有效性并提取用戶信息：

// 解析JWT并返回用戶名
func ParseJWT(tokenStr string) (string, error) {
    claims := &Claims{}
    token, err := jwt.ParseWithClaims(tokenStr, claims, func(token *jwt.Token) (interface{}, error) {
        // 返回簽名時使用的密鑰
        return jwtKey, nil
    })
 
    if err != nil {
        return "", err
    }
 
    if !token.Valid {
        return "", err
    }
 
    return claims.Username, nil
}

3. 實現(xiàn)登錄接口

接下來，我們實現(xiàn)一個登錄接口，用戶可以通過提供用戶名和密碼來獲取JWT。

package main
 
import (
    "github.com/gin-gonic/gin"
    "net/http"
)
 
// 假設(shè)的用戶數(shù)據(jù)，實際應(yīng)用中應(yīng)使用數(shù)據(jù)庫
var users = map[string]string{
    "user1": "password1",
    "user2": "password2",
}
 
func main() {
    r := gin.Default()
 
    // 登錄接口
    r.POST("/login", func(c *gin.Context) {
        var loginData map[string]string
        if err := c.ShouldBindJSON(&loginData); err != nil {
            c.JSON(http.StatusBadRequest, gin.H{"error": "Invalid input"})
            return
        }
 
        username, password := loginData["username"], loginData["password"]
 
        // 驗證用戶名和密碼
        if correctPassword, exists := users[username]; exists && correctPassword == password {
            // 生成JWT
            token, err := GenerateJWT(username)
            if err != nil {
                c.JSON(http.StatusInternalServerError, gin.H{"error": "Could not generate token"})
                return
            }
 
            c.JSON(http.StatusOK, gin.H{"token": token})
        } else {
            c.JSON(http.StatusUnauthorized, gin.H{"error": "Invalid username or password"})
        }
    })
 
    r.Run(":8080")
}

4. 實現(xiàn)受保護(hù)的路由

為了保護(hù)需要授權(quán)的路由，我們需要編寫中間件來驗證JWT。只有通過驗證的請求才能訪問這些路由。

// JWT驗證中間件
func JWTMiddleware() gin.HandlerFunc {
    return func(c *gin.Context) {
        // 獲取Authorization頭部
        tokenStr := c.GetHeader("Authorization")
        if tokenStr == "" {
            c.JSON(http.StatusUnauthorized, gin.H{"error": "Missing token"})
            c.Abort()
            return
        }
 
        // 解析JWT并獲取用戶名
        username, err := ParseJWT(tokenStr)
        if err != nil {
            c.JSON(http.StatusUnauthorized, gin.H{"error": "Invalid token"})
            c.Abort()
            return
        }
 
        // 將用戶名添加到上下文中，以便后續(xù)使用
        c.Set("username", username)
        c.Next()
    }
}
 
func main() {
    r := gin.Default()
 
    // 登錄接口
    r.POST("/login", func(c *gin.Context) {
        var loginData map[string]string
        if err := c.ShouldBindJSON(&loginData); err != nil {
            c.JSON(http.StatusBadRequest, gin.H{"error": "Invalid input"})
            return
        }
 
        username, password := loginData["username"], loginData["password"]
 
        if correctPassword, exists := users[username]; exists && correctPassword == password {
            token, err := GenerateJWT(username)
            if err != nil {
                c.JSON(http.StatusInternalServerError, gin.H{"error": "Could not generate token"})
                return
            }
 
            c.JSON(http.StatusOK, gin.H{"token": token})
        } else {
            c.JSON(http.StatusUnauthorized, gin.H{"error": "Invalid username or password"})
        }
    })
 
    // 受保護(hù)的路由，必須通過JWT驗證
    authorized := r.Group("/protected")
    authorized.Use(JWTMiddleware())
    authorized.GET("/hello", func(c *gin.Context) {
        username := c.MustGet("username").(string)
        c.JSON(http.StatusOK, gin.H{
            "message": "Hello, " + username,
        })
    })
 
    r.Run(":8080")
}

5. 測試JWT認(rèn)證

##16bWaaVUGAdS8d39CilS9PXEtEptU809NqHfKBuiVYk=##

首先，通過/login接口獲取JWT：

curl -X POST http://localhost:8080/login -H "Content-Type: application/json" -d '{"username":"user1", "password":"password1"}'

返回結(jié)果：

{ "token": "your-jwt-token" }

然后，使用返回的JWT訪問受保護(hù)的路由：

curl -X GET http://localhost:8080/protected/hello -H "Authorization: your-jwt-token"

返回結(jié)果：

{ "message": "Hello, user1" }

結(jié)語

通過本文的講解，你應(yīng)該已經(jīng)掌握了如何在Golang中使用JWT進(jìn)行認(rèn)證與授權(quán)。JWT憑借其無狀態(tài)性和跨平臺的特點，成為了分布式系統(tǒng)中實現(xiàn)認(rèn)證與授權(quán)的理想選擇。你可以將這個基本的認(rèn)證系統(tǒng)進(jìn)一步擴(kuò)展，如支持權(quán)限控制、刷新令牌等功能。

以上就是一文詳解如何在Golang中實現(xiàn)JWT認(rèn)證與授權(quán)的詳細(xì)內(nèi)容，更多關(guān)于Golang JWT認(rèn)證與授權(quán)的資料請關(guān)注腳本之家其它相關(guān)文章！

您可能感興趣的文章: