JWT-Tokens in Golang: Ein Entwicklerhandbuch für sichere APIs

Einführung

In der modernen Webentwicklung ist eine sichere und skalierbare Authentifizierung von entscheidender Bedeutung. JSON Web Tokens (JWT) sind zur Standardmethode geworden, um dieses Ziel zu erreichen. In diesem Blogbeitrag werden wir untersuchen, was JWT ist, wie es funktioniert und wie man es in Golang implementiert.

Was ist JWT?

JSON Web Token (JWT) ist eine kompakte, URL-sichere Möglichkeit zur Darstellung von Ansprüchen zur sicheren Übertragung von Ansprüchen zwischen zwei Parteien. Es wird häufig zur Authentifizierung und Autorisierung von Benutzern in APIs und verteilten Systemen verwendet.

Struktur von JWT

Ein JWT besteht aus drei Teilen, die durch Punkte (.) getrennt sind:

<code>Header.Payload.Signature</code>

Beispiel:

<code>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWUsImlhdCI6MTUxNjIzOTAyMn0.reGQzG3OKdoIMWLDKOZ4TICJit3EW69cQE72E2CfzRE</code>

Jeder Teil ist:

1. Header: Gibt den Tokentyp (JWT) und den Signaturalgorithmus (HS256) an.

<code>{
  "alg": "HS256",
  "typ": "JWT"
}</code>

2. Payload: Enthält Ansprüche (Benutzerdaten wie ID, Rolle oder Name).

<code>{
    "sub": "1234567890",
    "name": "John Doe",
    "admin": true,
    "iat": 1516239022
}</code>

3. Signatur: Verwendet einen kryptografischen Signaturprozess, um die Integrität des Tokens sicherzustellen. Lassen Sie uns dies im Detail untersuchen.

So erstellen Sie eine Signatur:

• Verbinden Sie den codierten Header und die Nutzlast:

<code>  base64UrlEncode(header) + "." + base64UrlEncode(payload)</code>

• Unterschreiben Sie das Ergebnis:
  • Verwenden Sie einen kryptografischen Signaturalgorithmus (z. B. HMACSHA256, RS256) unter Verwendung eines geheimen oder privaten Schlüssels.
• Zusätzliche Signatur: Das endgültige JWT wird zu

<code>  header.payload.signature</code>

So funktioniert JWT

1. Der Client sendet Anmeldeinformationen an den Server.
2. Wenn gültig, generiert der Server das JWT und gibt es an den Client zurück.
3. Der Client speichert JWT (z. B. in localStorage oder Cookie).
4. Für jede Anfrage fügt der Client das JWT in den Authorization-Header ein: Authorization: Bearer
5. Der Server validiert das JWT bei jeder Anfrage.
   • Berechnen Sie die Signatur anhand des empfangenen Headers und der Nutzlast neu.
   • Vergleichen Sie die neu berechnete Signatur mit der empfangenen Signatur.

JWT in Golang implementieren

Golang-Entwickler können die hervorragende Bibliothek golang-jwt/jwt nutzen, um JWT zu verarbeiten. Diese Bibliothek bietet leistungsstarke Funktionen zum Erstellen, Signieren und Validieren von JWTs. Sie können es hier finden.

Die Verwaltung von JWTs erfordert jedoch häufig sich wiederholende Aufgaben wie das Konfigurieren von Signaturmethoden, das Parsen von Token und das Validieren von Ansprüchen. Um dies zu vereinfachen, habe ich ein benutzerdefiniertes Paket geschrieben, um die Funktionalität von golang-jwt zu umschließen. Mein Paket können Sie hier einsehen. Hier ist ein Beispiel für die Verwendung meines benutzerdefinierten JWT-Pakets.

package main

import (
    "context"
    "fmt"
    "log"
    "time"

    "github.com/golang-jwt/jwt/v5"
    jwtutil "github.com/kittipat1413/go-common/util/jwt"
)

type MyCustomClaims struct {
    jwt.RegisteredClaims
    UserID string `json:"uid"`
}

func main() {
    ctx := context.Background()
    signingKey := []byte("super-secret-key")
    manager, err := jwtutil.NewJWTManager(jwtutil.HS256, signingKey)
    if err != nil {
        log.Fatalf("Failed to create JWTManager: %v", err)
    }

    // Prepare custom claims
    claims := &MyCustomClaims{
        RegisteredClaims: jwt.RegisteredClaims{
            ExpiresAt: jwt.NewNumericDate(time.Now().Add(15 * time.Minute)),
            Issuer:    "example-HS256",
            Subject:   "example-subject",
        },
        UserID: "abc123",
    }

    // Create the token
    tokenStringHS256, err := manager.CreateToken(ctx, claims)
    if err != nil {
        log.Fatalf("Failed to create token: %v", err)
    }
    fmt.Println("Generated Token:", tokenStringHS256)

    // Validate the token
    parsedClaims := &MyCustomClaims{}
    err = manager.ParseAndValidateToken(ctx, tokenStringHS256, parsedClaims)
    if err != nil {
        log.Fatalf("Failed to validate token: %v", err)
    }

    fmt.Printf("Token is valid! UserID: %s, Issuer: %s\n", parsedClaims.UserID, parsedClaims.Issuer)
}

Sie können die vollständige Implementierung und Dokumentation meines Pakets auf GitHub durchsuchen: hier.

JWT Best Practices

1. HTTPS verwenden: Token immer über einen sicheren Kanal übertragen.
2. Ablaufzeit festlegen: Geben Sie eine angemessene Ablaufzeit an, um den Token-Missbrauch einzuschränken.
3. Schützen Sie Ihre Schlüssel: Speichern Sie Ihre Schlüssel sicher mithilfe von Umgebungsvariablen oder einem Schlüsselmanager.
4. Vermeiden Sie die Verwendung sensibler Daten in der Nutzlast: Beziehen Sie nur unkritische Informationen ein.
5. Aktualisierungstoken verwenden: Koppeln Sie ein JWT mit einem Aktualisierungstoken, um die Sitzung sicher zu verlängern.

Fazit ?

JWT ist ein leistungsstarkes Tool für die sichere, zustandslose Authentifizierung. Die Signatur stellt die Integrität und Authentizität des Tokens sicher und macht JWT ideal für APIs und verteilte Systeme. Mithilfe von Bibliotheken wie jwt-go können Sie JWT problemlos in Ihrem Golang-Projekt implementieren.

☕ Unterstützen Sie meine Arbeit ☕

Wenn Ihnen meine Arbeit gefällt, denken Sie bitte darüber nach, mir einen Kaffee zu spendieren! Ihre Unterstützung hilft mir, weiterhin wertvolle Inhalte zu erstellen und Wissen zu teilen. ☕

Das obige ist der detaillierte Inhalt vonJWT-Tokens in Golang: Ein Entwicklerhandbuch für sichere APIs. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!