suchen
HeimBackend-EntwicklungGolangJWT-Tokens in Golang: Ein Entwicklerhandbuch für sichere APIs

JWT Tokens in Golang: A Developer’s Guide to Secure APIs

Einführung

In der modernen Webentwicklung ist eine sichere und skalierbare Authentifizierung von entscheidender Bedeutung. JSON Web Tokens (JWT) sind zur Standardmethode geworden, um dieses Ziel zu erreichen. In diesem Blogbeitrag werden wir untersuchen, was JWT ist, wie es funktioniert und wie man es in Golang implementiert.

Was ist JWT?

JSON Web Token (JWT) ist eine kompakte, URL-sichere Möglichkeit zur Darstellung von Ansprüchen zur sicheren Übertragung von Ansprüchen zwischen zwei Parteien. Es wird häufig zur Authentifizierung und Autorisierung von Benutzern in APIs und verteilten Systemen verwendet.

Struktur von JWT

Ein JWT besteht aus drei Teilen, die durch Punkte (.) getrennt sind:

<code>Header.Payload.Signature</code>

Beispiel:

<code>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWUsImlhdCI6MTUxNjIzOTAyMn0.reGQzG3OKdoIMWLDKOZ4TICJit3EW69cQE72E2CfzRE</code>

Jeder Teil ist:

  1. Header: Gibt den Tokentyp (JWT) und den Signaturalgorithmus (HS256) an.
<code>{
  "alg": "HS256",
  "typ": "JWT"
}</code>
  1. Payload: Enthält Ansprüche (Benutzerdaten wie ID, Rolle oder Name).
<code>{
    "sub": "1234567890",
    "name": "John Doe",
    "admin": true,
    "iat": 1516239022
}</code>
  1. Signatur: Verwendet einen kryptografischen Signaturprozess, um die Integrität des Tokens sicherzustellen. Lassen Sie uns dies im Detail untersuchen.

So erstellen Sie eine Signatur:

  • Verbinden Sie den codierten Header und die Nutzlast:
<code>  base64UrlEncode(header) + "." + base64UrlEncode(payload)</code>
  • Unterschreiben Sie das Ergebnis:
    • Verwenden Sie einen kryptografischen Signaturalgorithmus (z. B. HMACSHA256, RS256) unter Verwendung eines geheimen oder privaten Schlüssels.
  • Zusätzliche Signatur: Das endgültige JWT wird zu
<code>  header.payload.signature</code>

So funktioniert JWT

  1. Der Client sendet Anmeldeinformationen an den Server.
  2. Wenn gültig, generiert der Server das JWT und gibt es an den Client zurück.
  3. Der Client speichert JWT (z. B. in localStorage oder Cookie).
  4. Für jede Anfrage fügt der Client das JWT in den Authorization-Header ein: Authorization: Bearer
  5. Der Server validiert das JWT bei jeder Anfrage.
    • Berechnen Sie die Signatur anhand des empfangenen Headers und der Nutzlast neu.
    • Vergleichen Sie die neu berechnete Signatur mit der empfangenen Signatur.

JWT in Golang implementieren

Golang-Entwickler können die hervorragende Bibliothek golang-jwt/jwt nutzen, um JWT zu verarbeiten. Diese Bibliothek bietet leistungsstarke Funktionen zum Erstellen, Signieren und Validieren von JWTs. Sie können es hier finden.

Die Verwaltung von JWTs erfordert jedoch häufig sich wiederholende Aufgaben wie das Konfigurieren von Signaturmethoden, das Parsen von Token und das Validieren von Ansprüchen. Um dies zu vereinfachen, habe ich ein benutzerdefiniertes Paket geschrieben, um die Funktionalität von golang-jwt zu umschließen. Mein Paket können Sie hier einsehen. Hier ist ein Beispiel für die Verwendung meines benutzerdefinierten JWT-Pakets.

package main

import (
    "context"
    "fmt"
    "log"
    "time"

    "github.com/golang-jwt/jwt/v5"
    jwtutil "github.com/kittipat1413/go-common/util/jwt"
)

type MyCustomClaims struct {
    jwt.RegisteredClaims
    UserID string `json:"uid"`
}

func main() {
    ctx := context.Background()
    signingKey := []byte("super-secret-key")
    manager, err := jwtutil.NewJWTManager(jwtutil.HS256, signingKey)
    if err != nil {
        log.Fatalf("Failed to create JWTManager: %v", err)
    }

    // Prepare custom claims
    claims := &MyCustomClaims{
        RegisteredClaims: jwt.RegisteredClaims{
            ExpiresAt: jwt.NewNumericDate(time.Now().Add(15 * time.Minute)),
            Issuer:    "example-HS256",
            Subject:   "example-subject",
        },
        UserID: "abc123",
    }

    // Create the token
    tokenStringHS256, err := manager.CreateToken(ctx, claims)
    if err != nil {
        log.Fatalf("Failed to create token: %v", err)
    }
    fmt.Println("Generated Token:", tokenStringHS256)

    // Validate the token
    parsedClaims := &MyCustomClaims{}
    err = manager.ParseAndValidateToken(ctx, tokenStringHS256, parsedClaims)
    if err != nil {
        log.Fatalf("Failed to validate token: %v", err)
    }

    fmt.Printf("Token is valid! UserID: %s, Issuer: %s\n", parsedClaims.UserID, parsedClaims.Issuer)
}
Sie können die vollständige Implementierung und Dokumentation meines Pakets auf GitHub durchsuchen: hier.

JWT Best Practices

  1. HTTPS verwenden: Token immer über einen sicheren Kanal übertragen.
  2. Ablaufzeit festlegen: Geben Sie eine angemessene Ablaufzeit an, um den Token-Missbrauch einzuschränken.
  3. Schützen Sie Ihre Schlüssel: Speichern Sie Ihre Schlüssel sicher mithilfe von Umgebungsvariablen oder einem Schlüsselmanager.
  4. Vermeiden Sie die Verwendung sensibler Daten in der Nutzlast: Beziehen Sie nur unkritische Informationen ein.
  5. Aktualisierungstoken verwenden: Koppeln Sie ein JWT mit einem Aktualisierungstoken, um die Sitzung sicher zu verlängern.

Fazit ?

JWT ist ein leistungsstarkes Tool für die sichere, zustandslose Authentifizierung. Die Signatur stellt die Integrität und Authentizität des Tokens sicher und macht JWT ideal für APIs und verteilte Systeme. Mithilfe von Bibliotheken wie jwt-go können Sie JWT problemlos in Ihrem Golang-Projekt implementieren.

☕ Unterstützen Sie meine Arbeit ☕

Wenn Ihnen meine Arbeit gefällt, denken Sie bitte darüber nach, mir einen Kaffee zu spendieren! Ihre Unterstützung hilft mir, weiterhin wertvolle Inhalte zu erstellen und Wissen zu teilen. ☕

Das obige ist der detaillierte Inhalt vonJWT-Tokens in Golang: Ein Entwicklerhandbuch für sichere APIs. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
GO Language Pack Import: Was ist der Unterschied zwischen Unterstrich und ohne Unterstrich?GO Language Pack Import: Was ist der Unterschied zwischen Unterstrich und ohne Unterstrich?Mar 03, 2025 pm 05:17 PM

Dieser Artikel erläutert die Paketimportmechanismen von Go: benannte Importe (z. B. importieren & quot; fmt & quot;) und leere Importe (z. B. Import _ & quot; fmt & quot;). Benannte Importe machen Paketinhalte zugänglich, während leere Importe nur T ausführen

Wie konvertieren Sie die Liste der MySQL -Abfrageergebnisse in eine benutzerdefinierte Struktur -Slice in Go -Sprache?Wie konvertieren Sie die Liste der MySQL -Abfrageergebnisse in eine benutzerdefinierte Struktur -Slice in Go -Sprache?Mar 03, 2025 pm 05:18 PM

Dieser Artikel beschreibt die effiziente Konvertierung von MySQL -Abfrageergebnissen in GO -Strukturscheiben. Es wird unter Verwendung der SCAN -Methode von Datenbank/SQL zur optimalen Leistung hervorgehoben, wobei die manuelle Parsen vermieden wird. Best Practices für die Struktur -Feldzuordnung mithilfe von DB -Tags und Robus

Wie kann ich kurzfristige Informationsübertragung zwischen Seiten im BeEGO-Framework implementieren?Wie kann ich kurzfristige Informationsübertragung zwischen Seiten im BeEGO-Framework implementieren?Mar 03, 2025 pm 05:22 PM

In diesem Artikel werden die Newflash () -Funktion von BeEGO für die Übertragung zwischen PAGE in Webanwendungen erläutert. Es konzentriert sich auf die Verwendung von Newflash (), um temporäre Nachrichten (Erfolg, Fehler, Warnung) zwischen den Controllern anzuzeigen und den Sitzungsmechanismus zu nutzen. Limita

Wie kann ich benutzerdefinierte Typ -Einschränkungen für Generika in Go definieren?Wie kann ich benutzerdefinierte Typ -Einschränkungen für Generika in Go definieren?Mar 10, 2025 pm 03:20 PM

In diesem Artikel werden die benutzerdefinierten Typ -Einschränkungen von GO für Generika untersucht. Es wird beschrieben, wie Schnittstellen die minimalen Typanforderungen für generische Funktionen definieren und die Sicherheitstypsicherheit und die Wiederverwendbarkeit von Code verbessern. Der Artikel erörtert auch Einschränkungen und Best Practices

Wie schreibe ich Scheinobjekte und Stubs zum Testen in Go?Wie schreibe ich Scheinobjekte und Stubs zum Testen in Go?Mar 10, 2025 pm 05:38 PM

Dieser Artikel zeigt, dass Mocks und Stubs in GO für Unit -Tests erstellen. Es betont die Verwendung von Schnittstellen, liefert Beispiele für Mock -Implementierungen und diskutiert Best Practices wie die Fokussierung von Mocks und die Verwendung von Assertion -Bibliotheken. Die Articl

Wie schreibe ich Dateien in Go Language bequem?Wie schreibe ich Dateien in Go Language bequem?Mar 03, 2025 pm 05:15 PM

Dieser Artikel beschreibt effizientes Dateischreiben in Go und vergleicht OS.WriteFile (geeignet für kleine Dateien) mit OS.openfile und gepufferter Schreibvorgänge (optimal für große Dateien). Es betont eine robuste Fehlerbehandlung, die Verwendung von Aufschub und Überprüfung auf bestimmte Fehler.

Wie schreibt man Unit -Tests in Go?Wie schreibt man Unit -Tests in Go?Mar 21, 2025 pm 06:34 PM

In dem Artikel werden Schreiben von Unit -Tests in GO erörtert, die Best Practices, Spottechniken und Tools für ein effizientes Testmanagement abdecken.

Wie kann ich Tracing -Tools verwenden, um den Ausführungsfluss meiner GO -Anwendungen zu verstehen?Wie kann ich Tracing -Tools verwenden, um den Ausführungsfluss meiner GO -Anwendungen zu verstehen?Mar 10, 2025 pm 05:36 PM

In diesem Artikel wird die Verwendung von Tracing -Tools zur Analyse von GO -Anwendungsausführungsfluss untersucht. Es werden manuelle und automatische Instrumentierungstechniken, den Vergleich von Tools wie Jaeger, Zipkin und Opentelemetrie erörtert und die effektive Datenvisualisierung hervorheben

See all articles

Heiße KI -Werkzeuge

Undresser.AI Undress

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

Clothoff.io

KI-Kleiderentferner

AI Hentai Generator

AI Hentai Generator

Erstellen Sie kostenlos Ai Hentai.

Heißer Artikel

Heiße Werkzeuge

Dreamweaver CS6

Dreamweaver CS6

Visuelle Webentwicklungstools

Senden Sie Studio 13.0.1

Senden Sie Studio 13.0.1

Leistungsstarke integrierte PHP-Entwicklungsumgebung

SAP NetWeaver Server-Adapter für Eclipse

SAP NetWeaver Server-Adapter für Eclipse

Integrieren Sie Eclipse mit dem SAP NetWeaver-Anwendungsserver.

mPDF

mPDF

mPDF ist eine PHP-Bibliothek, die PDF-Dateien aus UTF-8-codiertem HTML generieren kann. Der ursprüngliche Autor, Ian Back, hat mPDF geschrieben, um PDF-Dateien „on the fly“ von seiner Website auszugeben und verschiedene Sprachen zu verarbeiten. Es ist langsamer und erzeugt bei der Verwendung von Unicode-Schriftarten größere Dateien als Originalskripte wie HTML2FPDF, unterstützt aber CSS-Stile usw. und verfügt über viele Verbesserungen. Unterstützt fast alle Sprachen, einschließlich RTL (Arabisch und Hebräisch) und CJK (Chinesisch, Japanisch und Koreanisch). Unterstützt verschachtelte Elemente auf Blockebene (wie P, DIV),

Herunterladen der Mac-Version des Atom-Editors

Herunterladen der Mac-Version des Atom-Editors

Der beliebteste Open-Source-Editor