JWT-Tokens in Golang: Ein Entwicklerhandbuch für sichere APIs-Golang-php.cn

Heim

Backend-Entwicklung

Golang

JWT-Tokens in Golang: Ein Entwicklerhandbuch für sichere APIs

Mary-Kate Olsen

Jan 14, 2025 pm 08:06 PM

JWT Tokens in Golang: A Developer’s Guide to Secure APIs

Einführung

In der modernen Webentwicklung ist eine sichere und skalierbare Authentifizierung von entscheidender Bedeutung. JSON Web Tokens (JWT) sind zur Standardmethode geworden, um dieses Ziel zu erreichen. In diesem Blogbeitrag werden wir untersuchen, was JWT ist, wie es funktioniert und wie man es in Golang implementiert.

Was ist JWT?

JSON Web Token (JWT) ist eine kompakte, URL-sichere Möglichkeit zur Darstellung von Ansprüchen zur sicheren Übertragung von Ansprüchen zwischen zwei Parteien. Es wird häufig zur Authentifizierung und Autorisierung von Benutzern in APIs und verteilten Systemen verwendet.

Struktur von JWT

Ein JWT besteht aus drei Teilen, die durch Punkte (.) getrennt sind:

<code>Header.Payload.Signature</code>

Beispiel:

<code>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWUsImlhdCI6MTUxNjIzOTAyMn0.reGQzG3OKdoIMWLDKOZ4TICJit3EW69cQE72E2CfzRE</code>

Jeder Teil ist:

Header: Gibt den Tokentyp (JWT) und den Signaturalgorithmus (HS256) an.

<code>{
  "alg": "HS256",
  "typ": "JWT"
}</code>

Payload: Enthält Ansprüche (Benutzerdaten wie ID, Rolle oder Name).

<code>{
    "sub": "1234567890",
    "name": "John Doe",
    "admin": true,
    "iat": 1516239022
}</code>

Signatur: Verwendet einen kryptografischen Signaturprozess, um die Integrität des Tokens sicherzustellen. Lassen Sie uns dies im Detail untersuchen.

So erstellen Sie eine Signatur:

Verbinden Sie den codierten Header und die Nutzlast:
<code>  base64UrlEncode(header) + "." + base64UrlEncode(payload)</code>
Unterschreiben Sie das Ergebnis:

Verwenden Sie einen kryptografischen Signaturalgorithmus (z. B. HMACSHA256, RS256) unter Verwendung eines geheimen oder privaten Schlüssels.

Zusätzliche Signatur: Das endgültige JWT wird zu
<code>  header.payload.signature</code>

So funktioniert JWT

Der Client sendet Anmeldeinformationen an den Server.
Wenn gültig, generiert der Server das JWT und gibt es an den Client zurück.
Der Client speichert JWT (z. B. in localStorage oder Cookie).
Für jede Anfrage fügt der Client das JWT in den Authorization-Header ein: Authorization: Bearer
Der Server validiert das JWT bei jeder Anfrage.
- Berechnen Sie die Signatur anhand des empfangenen Headers und der Nutzlast neu.
- Vergleichen Sie die neu berechnete Signatur mit der empfangenen Signatur.

JWT in Golang implementieren

Golang-Entwickler können die hervorragende Bibliothek golang-jwt/jwt nutzen, um JWT zu verarbeiten. Diese Bibliothek bietet leistungsstarke Funktionen zum Erstellen, Signieren und Validieren von JWTs. Sie können es hier finden.

Die Verwaltung von JWTs erfordert jedoch häufig sich wiederholende Aufgaben wie das Konfigurieren von Signaturmethoden, das Parsen von Token und das Validieren von Ansprüchen. Um dies zu vereinfachen, habe ich ein benutzerdefiniertes Paket geschrieben, um die Funktionalität von golang-jwt zu umschließen. Mein Paket können Sie hier einsehen. Hier ist ein Beispiel für die Verwendung meines benutzerdefinierten JWT-Pakets.

package main

import (
    "context"
    "fmt"
    "log"
    "time"

    "github.com/golang-jwt/jwt/v5"
    jwtutil "github.com/kittipat1413/go-common/util/jwt"
)

type MyCustomClaims struct {
    jwt.RegisteredClaims
    UserID string `json:"uid"`
}

func main() {
    ctx := context.Background()
    signingKey := []byte("super-secret-key")
    manager, err := jwtutil.NewJWTManager(jwtutil.HS256, signingKey)
    if err != nil {
        log.Fatalf("Failed to create JWTManager: %v", err)
    }

    // Prepare custom claims
    claims := &MyCustomClaims{
        RegisteredClaims: jwt.RegisteredClaims{
            ExpiresAt: jwt.NewNumericDate(time.Now().Add(15 * time.Minute)),
            Issuer:    "example-HS256",
            Subject:   "example-subject",
        },
        UserID: "abc123",
    }

    // Create the token
    tokenStringHS256, err := manager.CreateToken(ctx, claims)
    if err != nil {
        log.Fatalf("Failed to create token: %v", err)
    }
    fmt.Println("Generated Token:", tokenStringHS256)

    // Validate the token
    parsedClaims := &MyCustomClaims{}
    err = manager.ParseAndValidateToken(ctx, tokenStringHS256, parsedClaims)
    if err != nil {
        log.Fatalf("Failed to validate token: %v", err)
    }

    fmt.Printf("Token is valid! UserID: %s, Issuer: %s\n", parsedClaims.UserID, parsedClaims.Issuer)
}

Sie können die vollständige Implementierung und Dokumentation meines Pakets auf GitHub durchsuchen: hier.

JWT Best Practices

HTTPS verwenden: Token immer über einen sicheren Kanal übertragen.
Ablaufzeit festlegen: Geben Sie eine angemessene Ablaufzeit an, um den Token-Missbrauch einzuschränken.
Schützen Sie Ihre Schlüssel: Speichern Sie Ihre Schlüssel sicher mithilfe von Umgebungsvariablen oder einem Schlüsselmanager.
Vermeiden Sie die Verwendung sensibler Daten in der Nutzlast: Beziehen Sie nur unkritische Informationen ein.
Aktualisierungstoken verwenden: Koppeln Sie ein JWT mit einem Aktualisierungstoken, um die Sitzung sicher zu verlängern.

Fazit ?

JWT ist ein leistungsstarkes Tool für die sichere, zustandslose Authentifizierung. Die Signatur stellt die Integrität und Authentizität des Tokens sicher und macht JWT ideal für APIs und verteilte Systeme. Mithilfe von Bibliotheken wie jwt-go können Sie JWT problemlos in Ihrem Golang-Projekt implementieren.

☕ Unterstützen Sie meine Arbeit ☕

Wenn Ihnen meine Arbeit gefällt, denken Sie bitte darüber nach, mir einen Kaffee zu spendieren! Ihre Unterstützung hilft mir, weiterhin wertvolle Inhalte zu erstellen und Wissen zu teilen. ☕

Das obige ist der detaillierte Inhalt vonJWT-Tokens in Golang: Ein Entwicklerhandbuch für sichere APIs. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme

Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Verwandter Artikel

Init -Funktionen und Nebenwirkungen: Einbalancieren der Initialisierung mit WartbarkeitApr 26, 2025 am 12:23 AM

TensureinitFunctionsAreefectivenandMainableable: 1) minimiertsideffectsByReturningValuesinsteadofmodifyingglobalState, 2) safidEmpotencytohandlemultiplecallsSafely und 3) BreakdowncomplexinitialisierungIntosmaller, focusedFunctionStoenhEmodulus und maller, undmaller und stunschstörungen und störungen und störungen und störungen und störungen und störungen und störungen und störungen und störungen und störungen und störungen sind, diestöpfenhöreskräkuliskenntn und malker, und maller, und maller, focusedFocusedFunctionStoenhEmodulus und m

Erste Schritte mit Go: Ein AnfängerführerApr 26, 2025 am 12:21 AM

GoisidealforBeginersandSuitableforCloudandNetWorkServicesDuetoitsSimplicity, Effizienz und Konsumfeaturen.1) InstallgoFromTheofficialwebSiteAnDverifyWith'goversion'.2) CreateAneDrunyourFirstProgramwith'gorunhello.go.go.go.

Gehen Sie Parallelitätsmuster: Best Practices für EntwicklerApr 26, 2025 am 12:20 AM

Entwickler sollten den folgenden Best Practices folgen: 1. verwalten Goroutinen sorgfältig, um Ressourcenleckage zu verhindern; 2. Verwenden Sie Kanäle zur Synchronisation, aber vermeiden Sie Überbeanspruchung; 3.. Ausdrücklich Fehler in gleichzeitigen Programmen bewältigen; 4. Verstehen Sie GomaxProcs, um die Leistung zu optimieren. Diese Praktiken sind für eine effiziente und robuste Softwareentwicklung von entscheidender Bedeutung, da sie eine effektive Verwaltung von Ressourcen, eine ordnungsgemäße Synchronisierungsimplementierung, die ordnungsgemäße Fehlerbehandlung und die Leistungsoptimierung gewährleisten, wodurch die Software -Effizienz und die Wartbarkeit verbessert werden.

In Produktion gehen: Anwendungsfälle und Beispiele in der realen WeltApr 26, 2025 am 12:18 AM

GoexcelsinProductionDuetoitoSperformanceAndSimplicity, ButrequirescarefulmanagementofScalability, Fehlerhandling, Andresources.1) DockerusesgOforeEfficienceContainermanagement -Throughgoroutines.2) Uberscalesmicroserviceswithgo, FacingChallengeengeseragemaMeManageme

Benutzerdefinierte Fehlertypen in Go: Bereitstellung detaillierter FehlerinformationenApr 26, 2025 am 12:09 AM

Wir müssen den Fehlertyp anpassen, da die Standardfehlerschnittstelle begrenzte Informationen liefert und benutzerdefinierte Typen mehr Kontext und strukturierte Informationen hinzufügen können. 1) Benutzerdefinierte Fehlertypen können Fehlercodes, Positionen, Kontextdaten usw. enthalten, 2) Verbesserung der Debugging -Effizienz und der Benutzererfahrung, 3), aber der Komplexität und Wartungskosten sollte die Aufmerksamkeit geschenkt werden.

Aufbau skalierbarer Systeme mit der Go -ProgrammierspracheApr 25, 2025 am 12:19 AM

GoisidealforbuildingsCalablesSystemsDuetoitsSimplicity, Effizienz und verblüfftem Inconcurrencysupport.1) Go'ScleanSyNtaxandminimalisticDeInenHanceProductivity und ReduzienEirrors.2) ItsgoroutinesandchannelsableCrentCrent-Programme, Distrioutines und ChannelenableCrent-Programme, DistributingworkloNecrent-Programme,

Best Practices für die Verwendung von Init -Funktionen effektiv in GoApr 25, 2025 am 12:18 AM

Initunctionsingorunautomatischbeforemain () und sarEsfulForsSetingupenvironmentsandinitializingVariables

Die Ausführungsreihenfolge der Init -Funktionen in Go -PaketenApr 25, 2025 am 12:14 AM

GoinitializespackagesintheordertheyareImported, SheexecuteStfunctionSwitHinapackageInredeDinitionorder und FileNamesDeterminetheorderacrossmultipleFiles

See all articles