JSON Web Token(JWT)是一种很流行的跨域认证解决方案,JWT基于JSON可以在进行验证的同时附带身份信息,对于前后端分离项目很有帮助。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

JWT由三部分组成,每个部分之间用点.隔开,分别称为HEADER、PAYLOAD和VERIFY SIGNATURE。HEADER和PAYLOAD经过base64解码后为JSON明文。

  1. HEADER包含两个字段,alg指明JWT的签名算法,typ固定为JWT
  2. PAYLOAD中包含JWT的声明信息,标准中定义了isssubaud等声明字段,如果标准声明不够用的话,我们还可以增加自定义声明。要注意两点,第一PAYLOAD只是经过base64编码,几乎就等于是明文,不要包含敏感信息。第二不要在PAYLOAD中放入过多的信息,因为验证通过以后每一个请求都要包含JWT,信息太多的话会造成一些没有必要的资源浪费。
  3. VERIFY SIGNATURE为使用HEADER中指定的算法生成的签名。例如alg:HS256签名算法HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),密钥)

了解完JWT的基本原理之后,我们来看一下在gin中是怎么使用JWT的。

引入gin-jwt中间件

在Gin中使用jwt有个开源项目gin-jwt,这项目几乎包含了我们要用到的一切。例如定义PAYLOAD中的声明、授权验证的方法、是否使用COOKIE等等。下面来看一下官网给出的例子。

package main

import (

	"log"

	"net/http"

	"os"

	"time"

	jwt "github.com/appleboy/gin-jwt/v2"

	"github.com/gin-gonic/gin"

)

type login struct {

	Username string `form:"username" json:"username" binding:"required"`

	Password string `form:"password" json:"password" binding:"required"`

}

var identityKey = "id"

func helloHandler(c *gin.Context) {

	claims := jwt.ExtractClaims(c)

	user, _ := c.Get(identityKey)

	c.JSON(200, gin.H{

		"userID":   claims[identityKey],

		"userName": user.(*User).UserName,

		"text":     "Hello World.",

	})

}

type User struct {

	UserName  string

	FirstName string

	LastName  string

}

func main() {

	port := os.Getenv("PORT")

	r := gin.New()

	r.Use(gin.Logger())

	r.Use(gin.Recovery())

	if port == "" {

		port = "8000"

	}

	authMiddleware, err := jwt.New(&jwt.GinJWTMiddleware{

		Realm:       "test zone",

		Key:         []byte("secret key"),

		Timeout:     time.Hour,

		MaxRefresh:  time.Hour,

		IdentityKey: identityKey,

		PayloadFunc: func(data interface{}) jwt.MapClaims {

			if v, ok := data.(*User); ok {

				return jwt.MapClaims{

					identityKey: v.UserName,

				}

			}

			return jwt.MapClaims{}

		},

		IdentityHandler: func(c *gin.Context) interface{} {

			claims := jwt.ExtractClaims(c)

			return &User{

				UserName: claims[identityKey].(string),

			}

		},

		Authenticator: func(c *gin.Context) (interface{}, error) {

			var loginVals login

			if err := c.ShouldBind(&loginVals); err != nil {

				return "", jwt.ErrMissingLoginValues

			}

			userID := loginVals.Username

			password := loginVals.Password

			if (userID == "admin" && password == "admin") || (userID == "test" && password == "test") {

				return &User{

					UserName:  userID,

					LastName:  "Bo-Yi",

					FirstName: "Wu",

				}, nil

			}

			return nil, jwt.ErrFailedAuthentication

		},

		Authorizator: func(data interface{}, c *gin.Context) bool {

			if v, ok := data.(*User); ok && v.UserName == "admin" {

				return true

			}

			return false

		},

		Unauthorized: func(c *gin.Context, code int, message string) {

			c.JSON(code, gin.H{

				"code":    code,

				"message": message,

			})

		},

		TokenLookup: "header: Authorization, query: token, cookie: jwt",

		TokenHeadName: "Bearer",

		TimeFunc: time.Now,

	})

	if err != nil {

		log.Fatal("JWT Error:" + err.Error())

	}

	errInit := authMiddleware.MiddlewareInit()

	if errInit != nil {

		log.Fatal("authMiddleware.MiddlewareInit() Error:" + errInit.Error())

	}

	r.POST("/login", authMiddleware.LoginHandler)

	r.NoRoute(authMiddleware.MiddlewareFunc(), func(c *gin.Context) {

		claims := jwt.ExtractClaims(c)

		log.Printf("NoRoute claims: %#v\n", claims)

		c.JSON(404, gin.H{"code": "PAGE_NOT_FOUND", "message": "Page not found"})

	})

	auth := r.Group("/auth")

	auth.GET("/refresh_token", authMiddleware.RefreshHandler)

	auth.Use(authMiddleware.MiddlewareFunc())

	{

		auth.GET("/hello", helloHandler)

	}

	if err := http.ListenAndServe(":"+port, r); err != nil {

		log.Fatal(err)

	}

}

我们可以看到jwt.GinJWTMiddleware用于声明一个中间件。PayloadFunc方法中给默认的PAYLOAD增加了id字段,取值为UserName。Authenticator认证器,我们可以在这里验证用户身份,参数为*gin.Context,所以在这里我们可以像写Gin Handler那样获取到Http请求中的各种内容。Authorizator授权器可以判断判断当前JWT是否有权限继续访问。当然还可以设置像过期时间,密钥,是否设置COOKIE等其他选项。

登录Handler

以上例子中配置了路由r.POST("/login", authMiddleware.LoginHandler)下面我们来看一下登录过程是怎样的。

func (mw *GinJWTMiddleware) LoginHandler(c *gin.Context) {

	if mw.Authenticator == nil {

		mw.unauthorized(c, http.StatusInternalServerError, mw.HTTPStatusMessageFunc(ErrMissingAuthenticatorFunc, c))

		return

	}

	data, err := mw.Authenticator(c)

	if err != nil {

		mw.unauthorized(c, http.StatusUnauthorized, mw.HTTPStatusMessageFunc(err, c))

		return

	}

	// Create the token

	token := jwt.New(jwt.GetSigningMethod(mw.SigningAlgorithm))

	claims := token.Claims.(jwt.MapClaims)

	if mw.PayloadFunc != nil {

		for key, value := range mw.PayloadFunc(data) {

			claims[key] = value

		}

	}

	expire := mw.TimeFunc().Add(mw.Timeout)

	claims["exp"] = expire.Unix()

	claims["orig_iat"] = mw.TimeFunc().Unix()

	tokenString, err := mw.signedString(token)

	if err != nil {

		mw.unauthorized(c, http.StatusUnauthorized, mw.HTTPStatusMessageFunc(ErrFailedTokenCreation, c))

		return

	}

	// set cookie

	if mw.SendCookie {

		expireCookie := mw.TimeFunc().Add(mw.CookieMaxAge)

		maxage := int(expireCookie.Unix() - mw.TimeFunc().Unix())

		if mw.CookieSameSite != 0 {

			c.SetSameSite(mw.CookieSameSite)

		}

		c.SetCookie(

			mw.CookieName,

			tokenString,

			maxage,

			"/",

			mw.CookieDomain,

			mw.SecureCookie,

			mw.CookieHTTPOnly,

		)

	}

	mw.LoginResponse(c, http.StatusOK, tokenString, expire)

}

LoginHandler整体逻辑还是比较简单的,检查并调用前面设置的Authenticator方法,验证成功的话生成一个新的JWT,调用PayloadFunc方法设置PAYLOAD的自定义字段,根据SendCookie判断是否需要在HTTP中设置COOKIE,最后调用LoginResponse方法设置返回值。

使用中间件

jwt-gin包提供了一个标准的Gin中间件,我们可以在需要验证JWT的路由上设置中间件。前面例子中对路由组/auth增加了JWT验证auth.Use(authMiddleware.MiddlewareFunc())

func (mw *GinJWTMiddleware) MiddlewareFunc() gin.HandlerFunc {

	return func(c *gin.Context) {

		mw.middlewareImpl(c)

	}

}

func (mw *GinJWTMiddleware) middlewareImpl(c *gin.Context) {

	claims, err := mw.GetClaimsFromJWT(c)

	if err != nil {

		mw.unauthorized(c, http.StatusUnauthorized, mw.HTTPStatusMessageFunc(err, c))

		return

	}

	if claims["exp"] == nil {

		mw.unauthorized(c, http.StatusBadRequest, mw.HTTPStatusMessageFunc(ErrMissingExpField, c))

		return

	}

	if _, ok := claims["exp"].(float64); !ok {

		mw.unauthorized(c, http.StatusBadRequest, mw.HTTPStatusMessageFunc(ErrWrongFormatOfExp, c))

		return

	}

	if int64(claims["exp"].(float64)) < mw.TimeFunc().Unix() {

		mw.unauthorized(c, http.StatusUnauthorized, mw.HTTPStatusMessageFunc(ErrExpiredToken, c))

		return

	}

	c.Set("JWT_PAYLOAD", claims)

	identity := mw.IdentityHandler(c)

	if identity != nil {

		c.Set(mw.IdentityKey, identity)

	}

	if !mw.Authorizator(identity, c) {

		mw.unauthorized(c, http.StatusForbidden, mw.HTTPStatusMessageFunc(ErrForbidden, c))

		return

	}

	c.Next()

}

GetClaimsFromJWT方法在当前上下文中获取JWT,失败的话返回未授权。接着会判断JWT是否过期,最后前面设置的Authorizator方法验证是否有权限继续访问。

文章出处:基于gin的golang web开发:认证利器jwt

基于gin的golang web开发:认证利器jwt的更多相关文章

  1. 基于gin的golang web开发:实现用户登录

    前文分别介绍过了Resty和gin-jwt两个包,Resty是一个HTTP和REST客户端,gin-jwt是一个实现了JWT的Gin中间件.本文将使用这两个包来实现一个简单的用户登录功能. 环境准备 ...

  2. 基于gin的golang web开发:中间件

    gin中间件(middleware)提供了类似于面向切面编程或路由拦截器的功能,可以在请求前和请求之后添加一些自定义逻辑.实际开发中有很多场景会用到中间件,例如:权限验证,缓存,错误处理,日志,事务等 ...

  3. 基于gin的golang web开发:路由

    Gin是一个用Golang编写的HTTP网络框架.它的特点是类似于Martini的API,性能更好.在golang web开发领域是一个非常热门的web框架. 启动一个Gin web服务器 使用下面的 ...

  4. 基于gin的golang web开发:路由二

    在基于gin的golang web开发:路由中我们介绍了Gin的路由和一些获取链接中参数的方法,本文继续介绍其他获取参数的方法. 文件上传 在web开发中文件上传是一个很常见的需求,下面我们来看一下基 ...

  5. 基于gin的golang web开发:模型绑定

    在前两篇文章介绍路由的时候,我们了解到gin可用通过类似DefaultQuery或DefaultPostForm等方法获取到前端提交过来的参数.参数不多的情况下也很好用,但是想想看,如果接口有很多个参 ...

  6. 基于gin的golang web开发:模型验证

    Gin除了模型绑定还提供了模型验证功能.你可以给字段指定特定的规则标签,如果一个字段用binding:"required"标签修饰,在绑定时该字段的值为空,那么将返回一个错误.开发 ...

  7. 基于gin的golang web开发:访问mysql数据库

    web开发基本都离不开访问数据库,在Gin中使用mysql数据库需要依赖mysql的驱动.直接使用驱动提供的API就要写很多样板代码.你可以找到很多扩展包这里介绍的是jmoiron/sqlx.另外还有 ...

  8. 基于gin的golang web开发:使用数据库事务

    在前文介绍访问数据库时介绍了github.com/jmoiron/sqlx包,本文基于这个包使用数据库事务. defer 在使用数据库事务之前,首先需要了解go语言的defer关键字.defer是go ...

  9. 基于gin的golang web开发:mysql增删改查

    Go语言访问mysql数据库需要用到标准库database/sql和mysql的驱动.标准库的Api使用比较繁琐这里再引入另一个库github.com/jmoiron/sqlx. go get git ...

随机推荐

  1. NB-IoT的低功耗是怎么实现的?

    NB-IoT的低功耗是怎么实现的? NB-IoT可以实现低功耗的一个主要原因就是NB-IoT设备的用户终端在省电模式下依然可以工作,这种工作模式可以极大的降低电量的消耗和延长电池使用寿命.在省电模式下 ...

  2. Windows10系统下Hadoop和Hive开发环境搭建填坑指南

    前提 笔者目前需要搭建数据平台,发现了Windows系统下,Hadoop和Hive等组件的安装和运行存在大量的坑,而本着有坑必填的目标,笔者还是花了几个晚上的下班时候在多个互联网参考资料的帮助下完成了 ...

  3. debian 安裝SSH 增加新用戶 并使用sudo

    1 新建新用戶user 2 3 adduser user 4 5 passwd 123654 6 7 exit 刚安装好的Debian默认还没有sudo功能. 1.安装sudo # apt-get i ...

  4. 循序渐进VUE+Element 前端应用开发(25)--- 各种界面组件的使用(1)

    在我们使用Vue+Element开发前端的时候,往往涉及到很多界面组件的使用,其中很多直接采用Element官方的案例即可,有些则是在这个基础上封装更好利用.更少代码的组件:另外有些则是直接采用第三方 ...

  5. python造一个计算器

    正则表达式之简易计算器 关注公众号"轻松学编程"了解更多. 需求:使用正则表达式完成一个简易计算器. 功能:能够计算简单的表达式. 如:12((1+2)/(2+3)+1)*5.1- ...

  6. (五)F5和CTRL+F5两种刷新的区别

    一.刷新原理不同: F5触发的HTTP请求的请求头中通常包含了If-Modified-Since 或 If-None-Match字段,或者两者兼有. CTRL+F5触发的HTTP请求的请求头中没有上面 ...

  7. 洛谷P6623——[省选联考 2020 A 卷] 树

    传送门:QAQQAQ 题意:自己看 思路:正解应该是线段树/trie树合并? 但是本蒟蒻啥也不会,就用了树上二次差分 (思路来源于https://www.luogu.com.cn/blog/dengy ...

  8. day83:luffy:添加购物车&导航栏购物车数字显示&购物车页面展示

    目录 1.添加购物车+验证登录状态 2.右上方购物车图标的小红圆圈数字 3.Vuex 4.购物车页面展示-后端接口 5.购物车页面展示-前端 6.解决一个购物车数量显示混乱的bug 1.添加购物车+验 ...

  9. FFmpeg开发笔记(九):ffmpeg解码rtsp流并使用SDL同步播放

    前言   ffmpeg播放rtsp网络流和摄像头流.   Demo   使用ffmpeg播放局域网rtsp1080p海康摄像头:延迟0.2s,存在马赛克     使用ffmpeg播放网络rtsp文件流 ...

  10. CSS3:overflow属性详解

    1.Overflow overflow为溢出(容器),当内容超出容器时只需添加overflow属性值为hidden, 就可以把超出容器的部分隐藏起来: 如果内容超出容器却又不想其隐藏时可以将其属性值设 ...