搜索

首页 >后端开发 >Golang >Golang 中的 JWT 令牌:安全 API 开发人员指南

Golang 中的 JWT 令牌:安全 API 开发人员指南

Mary-Kate Olsen
Mary-Kate Olsen原创
2025-01-14 20:06:47310浏览

JWT Tokens in Golang: A Developer’s Guide to Secure APIs

引言

在现代Web开发中,安全且可扩展的认证至关重要。JSON Web Tokens (JWT) 已成为实现这一目标的标准方法。在本博文中,我们将探讨JWT是什么,它是如何工作的,以及如何在Golang中实现它。

什么是JWT?

JSON Web Token (JWT) 是一种紧凑的、URL安全的表示声明的方式,用于在双方之间安全地传输声明。它通常用于在API和分布式系统中对用户进行身份验证和授权。

JWT的结构

JWT由三个用点 (.) 分隔的部分组成:

<code>Header.Payload.Signature</code>

示例:

<code>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWUsImlhdCI6MTUxNjIzOTAyMn0.reGQzG3OKdoIMWLDKOZ4TICJit3EW69cQE72E2CfzRE</code>

每个部分是:

  1. Header (头部): 指定令牌类型 (JWT) 和签名算法 (HS256)。
<code>{
  "alg": "HS256",
  "typ": "JWT"
}</code>
  1. Payload (有效载荷): 包含声明(用户数据,例如ID、角色或名称)。
<code>{
    "sub": "1234567890",
    "name": "John Doe",
    "admin": true,
    "iat": 1516239022
}</code>
  1. Signature (签名): 使用加密签名过程来确保令牌的完整性。让我们详细探讨这一点。

签名的创建方式:

  • 连接编码的Header和Payload:
<code>  base64UrlEncode(header) + "." + base64UrlEncode(payload)</code>
  • 对结果进行签名:
    • 使用秘密密钥或私钥使用加密签名算法(例如,HMACSHA256、RS256)。
  • 附加签名: 最终的JWT变为
<code>  header.payload.signature</code>

JWT的工作原理

  1. 客户端将登录凭据发送到服务器。
  2. 如果有效,服务器将生成JWT并将其返回给客户端。
  3. 客户端存储JWT(例如,在localStorage或cookie中)。
  4. 对于每个请求,客户端都在Authorization标头中包含JWT:Authorization: Bearer
  5. 服务器在每次请求时验证JWT。
    • 使用接收到的Header和Payload重新计算签名。
    • 将重新计算的签名与接收到的签名进行比较。

在Golang中实现JWT

Golang开发人员可以利用优秀的golang-jwt/jwt库来处理JWT。此库提供了创建、签名和验证JWT的强大功能。您可以在此处找到它。

但是,管理JWT通常需要重复的任务,例如配置签名方法、解析令牌和验证声明。为了简化这一点,我编写了一个自定义包来包装golang-jwt的功能。您可以在此处查看我的包。

以下是如何使用我的自定义JWT包的示例。

<code class="language-go">package main

import (
    "context"
    "fmt"
    "log"
    "time"

    "github.com/golang-jwt/jwt/v5"
    jwtutil "github.com/kittipat1413/go-common/util/jwt"
)

type MyCustomClaims struct {
    jwt.RegisteredClaims
    UserID string `json:"uid"`
}

func main() {
    ctx := context.Background()
    signingKey := []byte("super-secret-key")
    manager, err := jwtutil.NewJWTManager(jwtutil.HS256, signingKey)
    if err != nil {
        log.Fatalf("Failed to create JWTManager: %v", err)
    }

    // Prepare custom claims
    claims := &MyCustomClaims{
        RegisteredClaims: jwt.RegisteredClaims{
            ExpiresAt: jwt.NewNumericDate(time.Now().Add(15 * time.Minute)),
            Issuer:    "example-HS256",
            Subject:   "example-subject",
        },
        UserID: "abc123",
    }

    // Create the token
    tokenStringHS256, err := manager.CreateToken(ctx, claims)
    if err != nil {
        log.Fatalf("Failed to create token: %v", err)
    }
    fmt.Println("Generated Token:", tokenStringHS256)

    // Validate the token
    parsedClaims := &MyCustomClaims{}
    err = manager.ParseAndValidateToken(ctx, tokenStringHS256, parsedClaims)
    if err != nil {
        log.Fatalf("Failed to validate token: %v", err)
    }

    fmt.Printf("Token is valid! UserID: %s, Issuer: %s\n", parsedClaims.UserID, parsedClaims.Issuer)
}</code>

您可以在GitHub上浏览我的包的完整实现和文档:此处。

JWT最佳实践

  1. 使用HTTPS: 始终通过安全通道传输令牌。
  2. 设置过期时间: 包含合理的exp以限制令牌滥用。
  3. 保护密钥: 使用环境变量或密钥管理器安全地存储密钥。
  4. 避免在有效载荷中使用敏感数据: 只包含非关键信息。
  5. 使用刷新令牌: 将JWT与刷新令牌配对以安全地延长会话。

结论 ?

JWT是用于安全、无状态身份验证的强大工具。签名确保了令牌的完整性和真实性,使JWT成为API和分布式系统的理想选择。使用像jwt-go这样的库,您可以轻松地在Golang项目中实现JWT。

☕ 支持我的工作 ☕

如果您喜欢我的工作,请考虑请我喝杯咖啡!您的支持帮助我继续创作有价值的内容并分享知识。☕

以上是Golang 中的 JWT 令牌:安全 API 开发人员指南的详细内容。更多信息请关注PHP中文网其他相关文章!

golang 分布式 json Cookie Token github 算法 https
声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
上一篇:Desbravando Go: Capítulo Primeiros Passos na Linguagem下一篇:Go&#s Concurrency Decoded: Goroutine Scheduling

相关文章

查看更多