


Avec le développement continu des applications Internet, l'authentification et l'autorisation des utilisateurs deviennent de plus en plus importantes. L'authentification est le processus permettant de vérifier qu'un utilisateur est autorisé à accéder à un système, tandis que l'autorisation est le processus permettant de déterminer les actions qu'un utilisateur peut effectuer. Dans cet article, nous verrons comment implémenter l'authentification et l'autorisation à l'aide de Golang.
- L'authentification à l'aide de JWT
JWT (JSON Web Tokens) est un moyen compact et autonome de représenter l'identité d'un utilisateur. Il contient des métadonnées et des affirmations qui peuvent être vérifiées et décodées. De manière générale, JWT contient trois parties : l'en-tête, la charge utile et la signature.
Golang fournit de nombreuses bibliothèques utiles pour nous aider à implémenter JWT, telles que : jwt-go. Générer, décoder et valider des JWT est facile grâce à la bibliothèque jwt-go. Voici un exemple de code qui utilise la bibliothèque jwt-go pour générer un JWT :
import ( "time" "github.com/dgrijalva/jwt-go" ) func CreateToken(userId string) (string, error) { token := jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.MapClaims{ "user_id": userId, "exp": time.Now().Add(time.Hour * 24).Unix(), }) return token.SignedString([]byte("your-secret")) }
Dans le code ci-dessus, nous créons un JWT qui contient l'ID de l'utilisateur actuel et l'heure d'expiration. Signez ensuite le JWT à l'aide de la méthode jwt.SigningMethodHS256 et de la clé « your-secret ». Enfin, la chaîne JWT est renvoyée à l'appelant.
Pour chaque requête HTTP, nous pouvons utiliser JWT pour l'authentification. Une fois que l'utilisateur s'est connecté avec succès, nous pouvons renvoyer le JWT généré au client. Le client peut envoyer le JWT au serveur dans le cadre de l'en-tête « Autorisation » à chaque demande ultérieure. Le serveur décode le JWT et vérifie la signature pour s'assurer qu'elle est légitime. Voici un exemple de code pour valider JWT à l'aide de la bibliothèque jwt-go :
import ( "net/http" "github.com/dgrijalva/jwt-go" ) func ValidateTokenMiddleware(next http.Handler) http.Handler { return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) { tokenHeader := r.Header.Get("Authorization") if tokenHeader == "" { w.WriteHeader(http.StatusUnauthorized) return } token, err := jwt.Parse(tokenHeader, func(token *jwt.Token) (interface{}, error) { return []byte("your-secret"), nil }) if err != nil || !token.Valid { w.WriteHeader(http.StatusUnauthorized) return } next.ServeHTTP(w, r) }) }
Dans le code ci-dessus, nous avons défini un middleware appelé ValidateTokenMiddleware, qui est responsable de la validation de JWT. ValidateTokenMiddleware vérifiera si l'en-tête HTTP contient un jeton d'autorisation et le validera. Si le JWT n'est pas valide, il renvoie une réponse HTTP 401 non autorisée. Dans le cas contraire, il poursuivra le traitement de la demande.
L'utilisation de JWT pour l'authentification garantit que la demande provient d'un utilisateur légitime et offre une sécurité accrue.
- Utiliser des rôles pour l'autorisation
Dans les applications Web modernes, les utilisateurs doivent souvent avoir des rôles et des autorisations différents. Par exemple, un administrateur peut disposer d'autorisations lui permettant d'effectuer des opérations de niveau supérieur, ce que les utilisateurs ordinaires ne disposent pas. Par conséquent, nous devons autoriser différents rôles d’utilisateur séparément.
Dans Golang, une approche populaire consiste à utiliser le modèle de contrôle d'accès basé sur les rôles (RBAC). Dans le modèle RBAC, chaque rôle reçoit des autorisations différentes et les utilisateurs se voient attribuer un ou plusieurs rôles. Ensuite, avant d'effectuer une action spécifique, le système vérifie si l'utilisateur est autorisé à effectuer cette action.
Voici un exemple de code utilisant le modèle de contrôle d'accès basé sur les rôles :
type Role string const ( AdminRole Role = "admin" UserRole Role = "user" ) type User struct { ID string `json:"id"` Name string `json:"name"` Email string `json:"email"` Role Role `json:"role"` } // Check if the user has permission to access the resource based on the specified role. func HasPermission(user *User, requiredRole Role) bool { return user.Role == requiredRole || user.Role == AdminRole }
Dans le code ci-dessus, nous avons défini un type d'énumération appelé Rôle qui contient une liste de rôles que nous souhaitons utiliser dans notre application. Dans la structure Utilisateur, nous attribuons à chaque utilisateur un ou plusieurs rôles et utilisons la fonction HasPermission pour vérifier si l'utilisateur est autorisé à effectuer une opération spécifique. Dans cet exemple, la fonction HasPermission renverra true uniquement si le rôle de l'utilisateur est AdminRole ou requisRole.
Nous pouvons également utiliser d'autres méthodes telles que l'utilisation d'un middleware pour vérifier les rôles et les autorisations des utilisateurs. Voici un exemple de code basé sur un middleware :
func AdminOnlyMiddleware(next http.Handler) http.Handler { return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) { user, ok := r.Context().Value("user").(*User) if !ok || !HasPermission(user, AdminRole) { w.WriteHeader(http.StatusForbidden) return } next.ServeHTTP(w, r) }) }
Dans le code ci-dessus, nous définissons un middleware appelé AdminOnlyMiddleware. Ce middleware obtiendra le rôle d'utilisateur à partir du contexte de la requête HTTP et vérifiera si l'utilisateur dispose des autorisations nécessaires pour effectuer l'action. Si l'utilisateur n'a pas l'autorisation, il renverra une réponse HTTP 403 Forbidden.
Si nous utilisons une application basée sur un framework Web, nous pouvons enregistrer le middleware directement sur l'itinéraire. Par exemple, nous pouvons enregistrer AdminOnlyMiddleware pour les points de terminaison d'API qui nécessitent des droits d'administrateur :
router.Handle("/api/dashboard", AdminOnlyMiddleware(http.HandlerFunc(handler)))
Dans le code ci-dessus, seuls les utilisateurs disposant de droits d'administrateur peuvent accéder au point de terminaison "/api/dashboard".
Résumé
Dans cet article, nous avons présenté comment mettre en œuvre l'authentification et l'autorisation à l'aide de Golang. Nous utilisons JWT pour vérifier que l'utilisateur a l'autorisation d'accéder au système et un modèle de contrôle d'accès basé sur les rôles pour vérifier si l'utilisateur a l'autorisation d'effectuer une action spécifique. Ces technologies peuvent nous aider à créer des applications Web sécurisées, évolutives et faciles à maintenir.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

go语言有缩进。在go语言中,缩进直接使用gofmt工具格式化即可(gofmt使用tab进行缩进);gofmt工具会以标准样式的缩进和垂直对齐方式对源代码进行格式化,甚至必要情况下注释也会重新格式化。

go语言叫go的原因:想表达这门语言的运行速度、开发速度、学习速度(develop)都像gopher一样快。gopher是一种生活在加拿大的小动物,go的吉祥物就是这个小动物,它的中文名叫做囊地鼠,它们最大的特点就是挖洞速度特别快,当然可能不止是挖洞啦。

本篇文章带大家了解一下golang 的几种常用的基本数据类型,如整型,浮点型,字符,字符串,布尔型等,并介绍了一些常用的类型转换操作。

是,TiDB采用go语言编写。TiDB是一个分布式NewSQL数据库;它支持水平弹性扩展、ACID事务、标准SQL、MySQL语法和MySQL协议,具有数据强一致的高可用特性。TiDB架构中的PD储存了集群的元信息,如key在哪个TiKV节点;PD还负责集群的负载均衡以及数据分片等。PD通过内嵌etcd来支持数据分布和容错;PD采用go语言编写。

go语言需要编译。Go语言是编译型的静态语言,是一门需要编译才能运行的编程语言,也就说Go语言程序在运行之前需要通过编译器生成二进制机器码(二进制的可执行文件),随后二进制文件才能在目标机器上运行。

在写 Go 的过程中经常对比这两种语言的特性,踩了不少坑,也发现了不少有意思的地方,下面本篇就来聊聊 Go 自带的 HttpClient 的超时机制,希望对大家有所帮助。

删除map元素的两种方法:1、使用delete()函数从map中删除指定键值对,语法“delete(map, 键名)”;2、重新创建一个新的map对象,可以清空map中的所有元素,语法“var mapname map[keytype]valuetype”。


Outils d'IA chauds

Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool
Images de déshabillage gratuites

Clothoff.io
Dissolvant de vêtements AI

AI Hentai Generator
Générez AI Hentai gratuitement.

Article chaud

Outils chauds

Télécharger la version Mac de l'éditeur Atom
L'éditeur open source le plus populaire

Dreamweaver Mac
Outils de développement Web visuel

Navigateur d'examen sécurisé
Safe Exam Browser est un environnement de navigation sécurisé permettant de passer des examens en ligne en toute sécurité. Ce logiciel transforme n'importe quel ordinateur en poste de travail sécurisé. Il contrôle l'accès à n'importe quel utilitaire et empêche les étudiants d'utiliser des ressources non autorisées.

DVWA
Damn Vulnerable Web App (DVWA) est une application Web PHP/MySQL très vulnérable. Ses principaux objectifs sont d'aider les professionnels de la sécurité à tester leurs compétences et leurs outils dans un environnement juridique, d'aider les développeurs Web à mieux comprendre le processus de sécurisation des applications Web et d'aider les enseignants/étudiants à enseigner/apprendre dans un environnement de classe. Application Web sécurité. L'objectif de DVWA est de mettre en pratique certaines des vulnérabilités Web les plus courantes via une interface simple et directe, avec différents degrés de difficulté. Veuillez noter que ce logiciel

mPDF
mPDF est une bibliothèque PHP qui peut générer des fichiers PDF à partir de HTML encodé en UTF-8. L'auteur original, Ian Back, a écrit mPDF pour générer des fichiers PDF « à la volée » depuis son site Web et gérer différentes langues. Il est plus lent et produit des fichiers plus volumineux lors de l'utilisation de polices Unicode que les scripts originaux comme HTML2FPDF, mais prend en charge les styles CSS, etc. et présente de nombreuses améliorations. Prend en charge presque toutes les langues, y compris RTL (arabe et hébreu) et CJK (chinois, japonais et coréen). Prend en charge les éléments imbriqués au niveau du bloc (tels que P, DIV),