Go開發(fā)Gin項目添加jwt功能實例詳解

更新時間：2022年07月18日 09:41:10 作者：慧慧來咯

這篇文章主要為大家介紹了Go開發(fā)Gin項目中添加jwt功能實例詳解，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進步，早日升職加薪

啥是JWT

JWT全稱JSON Web Token是一種跨域認(rèn)證解決方案，屬于一個開放的標(biāo)準(zhǔn)，它規(guī)定了一種Token實現(xiàn)方式，目前多用于前后端分離項目和OAuth2.0業(yè)務(wù)場景下。

為什么要用在你的Gin中使用JWT

傳統(tǒng)的Cookie-Sesson模式占用服務(wù)器內(nèi)存, 拓展性不好,遇到集群或者跨服務(wù)驗證的場景的話, 要支持Sesson復(fù)制或者sesson持久化

JWT的基本原理

在服務(wù)器驗證之后, 得到用戶信息JSON

{
     "user_id": "xxxxxx",
    "role": "xxxxxx",
    "refresh_token": "xxxxx"
}

JWT TOKEN怎么組成

JWT是一個很長的字符串

eyJhbGciOiJI123afasrwrqqewrcCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

它由三部分組成, 每部分用點(.)分隔, 三個部分依次如下

Header(頭部)
Payload(負(fù)載)
Signature(簽名)

Header

Header是一個經(jīng)過BASE64URL算法加密過的JSON對象, 解密后如下

{
  "alg": "HS256",
  "typ": "JWT"
}

其中, alg屬性表示簽名所用的算法,默認(rèn)是HS256;

typ則表示當(dāng)前token的類型, 而JWT的類型則為jwt

Base64URL

與BASE64類似, 由于+、/、=這幾個符號在URL中有特殊含義, 因此BASE64RUL算法, 把這幾個符號進行了替換

+ -> -

= -> 被忽略

/ -> _

Payload

Payload部分也是JSON對象經(jīng)過BASE64URL算法轉(zhuǎn)成字符串的, Payload部分包含7個基本字段

iss (issuer)：簽發(fā)人
exp (expiration time)：過期時間
sub (subject)：主題
aud (audience)：受眾
nbf (Not Before)：生效時間
iat (Issued At)：簽發(fā)時間
jti (JWT ID)：編號

也可以往里面塞入自定義的業(yè)務(wù)字段, 如下

user_id

role

Signature

Signature 部分是對前兩部分的簽名，防止數(shù)據(jù)篡改。

首先，需要指定一個密鑰（secret）。這個密鑰只有服務(wù)器才知道，不能泄露給用戶。然后，使用 Header 里面指定的簽名算法（默認(rèn)是 HMAC SHA256），按照下面的公式產(chǎn)生簽名。

HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)

解密過程

當(dāng)系統(tǒng)接收到TOKEN時, 拿出Header和Payload的字符串用.拼接在一起之后, 用Header里面指定的哈希方法通過公式

HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)

進行加密得出密文

然后用剛剛得出的密文與TOKEN傳過來的密文對比, 如果相等則表明密文沒有更改.

一些特點(優(yōu)點和缺點)

JWT 默認(rèn)是不加密，但也是可以加密的。生成原始 Token 以后，可以用密鑰再加密一次。
JWT 不加密的情況下，不能將秘密數(shù)據(jù)寫入 JWT。
JWT 不僅可以用于認(rèn)證，也可以用于交換信息。有效使用 JWT，可以降低服務(wù)器查詢數(shù)據(jù)庫的次數(shù)。
JWT 的最大缺點是，由于服務(wù)器不保存 session 狀態(tài)，因此無法在使用過程中廢止某個 token，或者更改 token 的權(quán)限。也就是說，一旦 JWT 簽發(fā)了，在到期之前就會始終有效，除非服務(wù)器部署額外的邏輯。
JWT 本身包含了認(rèn)證信息，一旦泄露，任何人都可以獲得該令牌的所有權(quán)限。為了減少盜用，JWT 的有效期應(yīng)該設(shè)置得比較短。對于一些比較重要的權(quán)限，使用時應(yīng)該再次對用戶進行認(rèn)證。
為了減少盜用，JWT 不應(yīng)該使用 HTTP 協(xié)議明碼傳輸，要使用 HTTPS 協(xié)議傳輸。

GIN整合JWT

go get -u github.com/dgrijalva/jwt-go
go get github.com/gin-gonic/gin

編寫jwtutil

var Secret = []byte("whatasecret")
// jwt過期時間, 按照實際環(huán)境設(shè)置
const expiration = 2 * time.Minute
type Claims struct {
	// 自定義字段, 可以存在用戶名, 用戶ID, 用戶角色等等
	Username string
	// jwt.StandardClaims包含了官方定義的字段
	jwt.StandardClaims
}
func GenToken(username string) (string, error) {
	// 創(chuàng)建聲明
	a := &Claims{
		Username: username,
		StandardClaims: jwt.StandardClaims{
			ExpiresAt: time.Now().Add(expiration).Unix(), // 過期時間
			IssuedAt:  time.Now().Unix(),                 // 簽發(fā)時間
			Issuer:    "gin-jwt-demo",                    // 簽發(fā)者
			Id:        "",                                // 按需求選這個, 有些實現(xiàn)中, 會控制這個ID是不是在黑/白名單來判斷是否還有效
			NotBefore: 0,                                 // 生效起始時間
			Subject:   "",                                // 主題
		},
	}
	// 用指定的哈希方法創(chuàng)建簽名對象
	tt := jwt.NewWithClaims(jwt.SigningMethodHS256, a)
	// 用上面的聲明和簽名對象簽名字符串token
	// 1. 先對Header和PayLoad進行Base64URL轉(zhuǎn)換
	// 2. Header和PayLoadBase64URL轉(zhuǎn)換后的字符串用.拼接在一起
	// 3. 用secret對拼接在一起之后的字符串進行HASH加密
	// 4. 連在一起返回
	return tt.SignedString(Secret)
}
func ParseToken(tokenStr string) (*Claims, error) {
	// 第三個參數(shù): 提供一個回調(diào)函數(shù)用于提供要選擇的秘鑰, 回調(diào)函數(shù)里面的token參數(shù),是已經(jīng)解析但未驗證的,可以根據(jù)token里面的值做一些邏輯, 如`kid`的判斷
	token, err := jwt.ParseWithClaims(tokenStr, &Claims{}, func(token *jwt.Token) (interface{}, error) {
		return Secret, nil
	})
	if err != nil {
		return nil, err
	}
	// 校驗token
	if claims, ok := token.Claims.(*Claims); ok && token.Valid {
		return claims, nil
	}
	return nil, errors.New("invalid token")
}

Secret是秘鑰, 用于加密簽名
expiration是TOKEN過期時間
Claims是簽名聲明對象, 包含自定義的字段和JWT規(guī)定的字段

type Claims struct {
	// 自定義字段, 可以存在用戶名, 用戶ID, 用戶角色等等
	Username string
	// jwt.StandardClaims包含了官方定義的字段
	jwt.StandardClaims
}
type StandardClaims struct {
	Audience  string `json:"aud,omitempty"`
	ExpiresAt int64  `json:"exp,omitempty"`
	Id        string `json:"jti,omitempty"`
	IssuedAt  int64  `json:"iat,omitempty"`
	Issuer    string `json:"iss,omitempty"`
	NotBefore int64  `json:"nbf,omitempty"`
	Subject   string `json:"sub,omitempty"`
}

GenToken方法

GenToken方法為某個username生成一個token, 每次生成都不一樣

jwt.NewWithClaims(jwt.SigningMethodHS256, a)聲明了一個簽名對象, 并且指定了HS256的哈希算法

token.SignedString(Secret)表明用剛剛的聲明對象和SECRET利用指定的哈希算法去加密,包含下面流程

先對Header和PayLoad進行Base64URL轉(zhuǎn)換
Header和PayLoadBase64URL轉(zhuǎn)換后的字符串用.拼接在一起
用secret對拼接在一起之后的字符串進行HASH加密
BASE64URL(Header).BASE64URL(Payload).signature連在一起的字符串返回

func GenToken(username string) (string, error) {
	// 創(chuàng)建聲明
	a := &amp;Claims{
		Username: username,
		StandardClaims: jwt.StandardClaims{
			ExpiresAt: time.Now().Add(expiration).Unix(), // 過期時間
			IssuedAt:  time.Now().Unix(),                 // 簽發(fā)時間
			Issuer:    "gin-jwt-demo",                    // 簽發(fā)者
			Id:        "",                                // 按需求選這個, 有些實現(xiàn)中, 會控制這個ID是不是在黑/白名單來判斷是否還有效
			NotBefore: 0,                                 // 生效起始時間
			Subject:   "",                                // 主題
		},
	}
	// 用指定的哈希方法創(chuàng)建簽名對象
	tt := jwt.NewWithClaims(jwt.SigningMethodHS256, a)
	// 用上面的聲明和簽名對象簽名字符串token
	// 1. 先對Header和PayLoad進行Base64URL轉(zhuǎn)換
	// 2. Header和PayLoadBase64URL轉(zhuǎn)換后的字符串用.拼接在一起
	// 3. 用secret對拼接在一起之后的字符串進行HASH加密
	// 4. 連在一起返回
	return tt.SignedString(Secret)
}

ParseToken方法

ParseToken方法解析一個Token, 并驗證Token是否生效

jwt.ParseWithClaims方法, 用于解析Token, 其第三個參數(shù):

提供一個回調(diào)函數(shù)用于提供要選擇的秘鑰, 回調(diào)函數(shù)里面的token參數(shù),是已經(jīng)解析但未驗證的,可以根據(jù)token里面的值做一些邏輯, 如判斷kid來選用不同的secret

KID（可選): 代表秘鑰序號。開發(fā)人員可以用它標(biāo)識認(rèn)證token的某一秘鑰

func ParseToken(tokenStr string) (*Claims, error) {
	// 第三個參數(shù): 提供一個回調(diào)函數(shù)用于提供要選擇的秘鑰, 回調(diào)函數(shù)里面的token參數(shù),是已經(jīng)解析但未驗證的,可以根據(jù)token里面的值做一些邏輯, 如`kid`的判斷
	token, err := jwt.ParseWithClaims(tokenStr, &amp;Claims{}, func(token *jwt.Token) (interface{}, error) {
		return Secret, nil
	})
	if err != nil {
		return nil, err
	}
	// 校驗token
	if claims, ok := token.Claims.(*Claims); ok &amp;&amp; token.Valid {
		return claims, nil
	}
	return nil, errors.New("invalid token")
}

編寫中間件

從Header中取出Authorization并拿去解析jwt.ParseToken,

驗證token是否被串改, 是否過期

從token取出有效信息并設(shè)置到上下文

func JWTAuthMiddleware() func(ctx *gin.Context) {
	return func(ctx *gin.Context) {
		// 根據(jù)實際情況取TOKEN, 這里從request header取
		tokenStr := ctx.Request.Header.Get("Authorization")
		if tokenStr == "" {
			ctx.AbortWithStatusJSON(http.StatusUnauthorized, gin.H{
				"code": code.ERR_AUTH_NULL,
				"msg":  code.GetMsg(code.ERR_AUTH_NULL),
			})
			return
		}
		claims, err := jwt.ParseToken(tokenStr)
		if err != nil {
			ctx.AbortWithStatusJSON(http.StatusUnauthorized, gin.H{
				"code": code.ERR_AUTH_INVALID,
				"msg":  code.GetMsg(code.ERR_AUTH_INVALID),
			})
			return
		} else if time.Now().Unix() &gt; claims.ExpiresAt {
			ctx.AbortWithStatusJSON(http.StatusUnauthorized, gin.H{
				"code": code.ERR_AUTH_EXPIRED,
				"msg":  code.GetMsg(code.ERR_AUTH_EXPIRED),
			})
			return
		}
		// 此處已經(jīng)通過了, 可以把Claims中的有效信息拿出來放入上下文使用
		ctx.Set("username", claims.Username)
		ctx.Next()
	}
}

使用中間件

/login不用中間件

中間件指定在authorizedrouter, 因此authorized下的所有路由都會使用此中間件

func main() {
	r := gin.Default()
	r.POST("/login", router.Login)
	authorized := r.Group("/auth")
	authorized.Use(jwt.JWTAuthMiddleware())
	{
		authorized.GET("/getUserInfo", router.GetUserInfo)
	}
	r.Run(":8082")
}