快捷導(dǎo)航

golang之JWT實(shí)現(xiàn)的示例代碼

更新時(shí)間：2020年05月31日 08:37:40 作者：guyan0319

這篇文章主要介紹了golang之JWT實(shí)現(xiàn)的示例代碼，文中通過示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

什么是JSON Web Token？

JSON Web Token（JWT）是一個(gè)開放標(biāo)準(zhǔn)（RFC 7519），它定義了一種緊湊且自包含的方式，用于在各方之間以JSON方式安全地傳輸信息。由于此信息是經(jīng)過數(shù)字簽名的，因此可以被驗(yàn)證和信任?？梢允褂妹孛埽ㄊ褂肏MAC算法）或使用RSA或ECDSA的公鑰/私鑰對(duì)對(duì)JWT進(jìn)行簽名。

直白的講jwt就是一種用戶認(rèn)證（區(qū)別于session、cookie）的解決方案。

出現(xiàn)的背景

眾所周知，在jwt出現(xiàn)之前，我們已經(jīng)有session、cookie來解決用戶登錄等認(rèn)證問題，為什么還要jwt呢？

這里我們先了解一下session，cookie。

session

熟悉session運(yùn)行機(jī)制的同學(xué)都知道，用戶的session數(shù)據(jù)以file或緩存（redis、memcached）等方式存儲(chǔ)在服務(wù)器端，客戶端瀏覽器cookie中只保存sessionid。服務(wù)器端session屬于集中存儲(chǔ)，數(shù)量不大的情況下，沒什么問題，當(dāng)用戶數(shù)據(jù)逐漸增多到一程度，就會(huì)給服務(wù)端管理和維護(hù)帶來大的負(fù)擔(dān)。

session有兩個(gè)弊端：

1、無法實(shí)現(xiàn)跨域。

2、由于session數(shù)據(jù)屬于集中管理里，量大的時(shí)候服務(wù)器性能是個(gè)問題。

優(yōu)點(diǎn)：

1、session存在服務(wù)端，數(shù)據(jù)相對(duì)比較安全。

2、session集中管理也有好處，就是用戶登錄、注銷服務(wù)端可控。

cookie

cookie也是一種解決網(wǎng)站用戶認(rèn)證的實(shí)現(xiàn)方式，用戶登錄時(shí)，服務(wù)器會(huì)發(fā)送包含登錄憑據(jù)的Cookie到用戶瀏覽器客戶端，瀏覽器會(huì)將Cookie的key/value保存用戶本地（內(nèi)存或硬盤），用戶再訪問網(wǎng)站，瀏覽器會(huì)發(fā)送cookie信息到服務(wù)器端，服務(wù)器端接收cookie并解析來維護(hù)用戶的登錄狀態(tài)。

cookie避免session集中管理的問題，但也存在弊端：

1、跨域問題。

2、數(shù)據(jù)存儲(chǔ)在瀏覽器端，數(shù)據(jù)容易被竊取及被csrf攻擊，安全性差。

優(yōu)點(diǎn)：

1、相對(duì)于session簡(jiǎn)單，不用服務(wù)端維護(hù)用戶認(rèn)證信息。

2、數(shù)據(jù)持久性。

jwt

jwt通過json傳輸，php、java、golang等很多語言支持，通用性比較好，不存在跨域問題。傳輸數(shù)據(jù)通過數(shù)據(jù)簽名相對(duì)比較安全。客戶端與服務(wù)端通過jwt交互，服務(wù)端通過解密token信息，來實(shí)現(xiàn)用戶認(rèn)證。不需要服務(wù)端集中維護(hù)token信息，便于擴(kuò)展。當(dāng)然jwt也有其缺點(diǎn)。

缺點(diǎn)：

1、用戶無法主動(dòng)登出，只要token在有效期內(nèi)就有效。這里可以考慮redis設(shè)置同token有效期一直的黑名單解決此問題。

2、token過了有效期，無法續(xù)簽問題?？梢钥紤]通過判斷舊的token什么時(shí)候到期，過期的時(shí)候刷新token續(xù)簽接口產(chǎn)生新token代替舊token。

jwt設(shè)置有效期

可以設(shè)置有效期，加入有效期是為了增加安全性，即token被黑客截獲，也只能攻擊較短時(shí)間。設(shè)置有效期就會(huì)面臨token續(xù)簽問題，解決方案如下

通常服務(wù)端設(shè)置兩個(gè)token

Access Token：添加到 HTTP 請(qǐng)求的 header 中，進(jìn)行用戶認(rèn)證，請(qǐng)求接口資源。
refresh token：用于當(dāng) Access Token過期后，客戶端傳遞refresh token刷新 Access Token續(xù)期接口，獲取新的Access Token和refresh token。其有效期比 Access Token有效期長(zhǎng)。

jwt構(gòu)成：

Header：TOKEN 的類型，就是JWT，簽名的算法，如 HMAC SHA256、HS384
Payload：載荷又稱為Claim，攜帶的信息，比如用戶名、過期時(shí)間等，一般叫做 Claim
Signature：簽名，是由header、payload 和你自己維護(hù)的一個(gè) secret 經(jīng)過加密得來的

jwt使用

這里推薦個(gè)使用比較多的開源項(xiàng)目[github.com/dgrijalva/jwt-go]()，更多文檔。

示例：

package main

import (
  "fmt"
  "github.com/dgrijalva/jwt-go"
  "time"
)
const (
  SECRETKEY = "243223ffslsfsldfl412fdsfsdf"http://私鑰
)
//自定義Claims
type CustomClaims struct {
  UserId int64
  jwt.StandardClaims
}
func main() {
  //生成token
  maxAge:=60*60*24
  customClaims :=&CustomClaims{
    UserId: 11,//用戶id
    StandardClaims: jwt.StandardClaims{
      ExpiresAt: time.Now().Add(time.Duration(maxAge)*time.Second).Unix(), // 過期時(shí)間，必須設(shè)置
      Issuer:"jerry",  // 非必須，也可以填充用戶名，
    },
  }
  //采用HMAC SHA256加密算法
  token:=jwt.NewWithClaims(jwt.SigningMethodHS256, customClaims)
  tokenString,err:= token.SignedString([]byte(SECRETKEY))
  if err!=nil {
    fmt.Println(err)
  }
  fmt.Printf("token: %v\n", tokenString)

  //解析token
  ret,err :=ParseToken(tokenString)
  if err!=nil {
    fmt.Println(err)
  }
  fmt.Printf("userinfo: %v\n", ret)
}

//解析token
func ParseToken(tokenString string)(*CustomClaims,error) {
  token, err := jwt.ParseWithClaims(tokenString, &CustomClaims{}, func(token *jwt.Token) (interface{}, error) {
    if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
      return nil, fmt.Errorf("Unexpected signing method: %v", token.Header["alg"])
    }
    return []byte(SECRETKEY), nil
  })
  if claims, ok := token.Claims.(*CustomClaims); ok && token.Valid {
    return claims,nil
  } else {
    return nil,err
  }
}

運(yùn)行結(jié)果：

token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJVc2VySWQiOjExLCJleHAiOjE1OTA5MTk1NDAsImlzcyI6ImplcnJ5In0.FppmbbHRrS4wd5wen73vYPOvtzycOrn2JZlK6JRjEGk
userinfo: &{11 { 1590919540 0 jerry 0 }}

以上用到了CustomClaims，也可以用簡(jiǎn)單的方法

示例

package main

import (
  "fmt"
  "github.com/dgrijalva/jwt-go"
  "time"
)
const (
  SECRETKEY = "243223ffslsfsldfl412fdsfsdf"http://私鑰
)
//自定義Claims
type CustomClaims struct {
  UserId int64
  jwt.StandardClaims
}
func main() {
  //生成token
  maxAge:=60*60*24
  // Create the Claims
  //claims := &jwt.StandardClaims{
  //  //  ExpiresAt: time.Now().Add(time.Duration(maxAge)*time.Second).Unix(), // 過期時(shí)間，必須設(shè)置,
  //  //  Issuer:  "jerry",// 非必須，也可以填充用戶名，
  //  //}

  //或者用下面自定義claim
  claims := jwt.MapClaims{
    "id":    11,
    "name":    "jerry",
    "exp": time.Now().Add(time.Duration(maxAge)*time.Second).Unix(), // 過期時(shí)間，必須設(shè)置,
  }

  token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
  tokenString, err := token.SignedString([]byte(SECRETKEY))
  if err!=nil {
    fmt.Println(err)
  }
  fmt.Printf("token: %v\n", tokenString)

  //解析token
  ret,err :=ParseToken(tokenString)
  if err!=nil {
    fmt.Println(err)
  }
  fmt.Printf("userinfo: %v\n", ret)
}

//解析token
func ParseToken(tokenString string)(jwt.MapClaims,error) {
  token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
    // Don't forget to validate the alg is what you expect:
    if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
      return nil, fmt.Errorf("Unexpected signing method: %v", token.Header["alg"])
    }

    // hmacSampleSecret is a []byte containing your secret, e.g. []byte("my_secret_key")
    return []byte(SECRETKEY), nil
  })
  if claims, ok := token.Claims.(jwt.MapClaims); ok && token.Valid {
    return claims,nil
  } else {
    return nil,err
  }
}

運(yùn)行結(jié)果類似

token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1OTA5MzUzMDUsImlkIjoxMSwibmFtZSI6ImplcnJ5In0.fapE0IiOEe_TqoMCThbNTHUvgWiHPEk0rm-9uPIcvPU
userinfo: map[exp:1.590935305e+09 id:11 name:jerry]

小結(jié)：

服務(wù)端生成的jwt返回客戶端可以存到cookie也可以存到localStorage中（相比cookie容量大），存在cookie中需加上 HttpOnly 的標(biāo)記，可以防止 XSS) 攻擊。
盡量用https帶證書網(wǎng)址訪問。
session和jwt沒有絕對(duì)好與不好，各有其擅長(zhǎng)的應(yīng)用環(huán)境，請(qǐng)根據(jù)實(shí)際情況選擇。

參考資料

https://github.com/guyan0319/golang_development_notes

https://godoc.org/github.com/dgrijalva/jwt-go

https://blog.csdn.net/weixin_43613053/article/details/84642140

https://www.cnblogs.com/flipped/p/12973557.html

到此這篇關(guān)于golang之JWT實(shí)現(xiàn)的示例代碼的文章就介紹到這了,更多相關(guān)golang JWT實(shí)現(xiàn)內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: