jwt是什么,可以百度下其它文章,我原来看到一个讲的详细的,现在找不到了。先简单介绍下我个人的理解,就是一个token,只不过通过加密解密的手段,能让这一串字符带有一些简单的信息。这样解密jwt后不用查数据库,最常用的例子,保存用户权限,再多层的权限,其实只用一个数字,转换成二进制,每一位代表一种权限。类似这样的使用,还有保存session的key,通过该值查session就能获取更丰富的资料,用来保存用户状态也是可以的。

下面介绍下我的一个golang项目中使用beego框架做纯API接口使用jwt的方法。

首先用到jwt函数的go文件都要引入这个库

import (
  "github.com/dgrijalva/jwt-go"
)

 
登录函数中登录成功把jwt字符串发给客户端,客户端需要保存起来比如localStorage中,访问别的API时加到header里面, 注意这个里面exp是必须要的,生命周期。其他都是根据自己需求添加的键值对。。
if passwd == user.Password {

            // 带权限创建令牌

            claims := make(jwt.MapClaims)

            claims["username"] = username

            if username == "admin" {

                claims["admin"] = "true"

            } else {

                claims["admin"] = "false"

            }

            claims["exp"] = time.Now().Add(time.Hour * ).Unix() //20天有效期,过期需要重新登录获取token

            token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)

            // 使用自定义字符串加密 and get the complete encoded token as a string

            tokenString, err := token.SignedString([]byte("mykey"))

            if err != nil {

                beego.Error("jwt.SignedString:", err)

                this.RetError(errSystem)

                return

            }

            this.Data["json"] = map[string]interface{}{"status": , "message": "login success ", "moreinfo": tokenString}

        } else {

            this.Data["json"] = map[string]interface{}{"status": , "message": "login failed ", "moreinfo": time.Now().Format("2006-01-02 15:04:05")}

        }

baseControler写这个函数,别的函数全部调用这个做权限认证
// ParseToken parse JWT token in http header.

func (c *BaseController) ParseToken() (t *jwt.Token, e *ControllerError) {

    authString := c.Ctx.Input.Header("Authorization")

    beego.Debug("AuthString:", authString)

    kv := strings.Split(authString, " ")

    if len(kv) !=  || kv[] != "Bearer" {

        beego.Error("AuthString invalid:", authString)

        return nil, errInputData

    }

    tokenString := kv[]

    // Parse token

    token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {

        return []byte("mykey"), nil

    })

    if err != nil {

        beego.Error("Parse token:", err)

        if ve, ok := err.(*jwt.ValidationError); ok {

            if ve.Errors&jwt.ValidationErrorMalformed !=  {

                // That's not even a token

                return nil, errInputData

            } else if ve.Errors&(jwt.ValidationErrorExpired|jwt.ValidationErrorNotValidYet) !=  {

                // Token is either expired or not active yet

                return nil, errExpired

            } else {

                // Couldn't handle this token

                return nil, errInputData

            }

        } else {

            // Couldn't handle this token

            return nil, errInputData

        }

    }

    if !token.Valid {

        beego.Error("Token invalid:", tokenString)

        return nil, errInputData

    }

    beego.Debug("Token:", token)

    return token, nil

}
其他API代码片段
token, e := this.ParseToken()

    if e != nil {

        this.RetError(e)

        return

    }

    claims, ok := token.Claims.(jwt.MapClaims)

    if !ok {

        this.RetError(errPermission)

        return

    }

var user string = claims["username"].(string)

beego应用做纯API后端如何使用jwt实现无状态权限验证的更多相关文章

  1. Spring Boot Security 整合 JWT 实现 无状态的分布式API接口

    简介 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案.JSON Web Token 入门教程 - 阮一峰,这篇文章可以帮你了解JWT的概念.本文重点讲解Spring Boo ...

  2. 从零开始学习 asp.net core 2.1 web api 后端api基础框架(二)-创建项目

    原文:从零开始学习 asp.net core 2.1 web api 后端api基础框架(二)-创建项目 版权声明:本文为博主原创文章,未经博主允许不得转载. https://blog.csdn.ne ...

  3. 基于swoole框架hyperf开发的纯API接口化的后台RBAC管理工具hyperfly@v1.0.0发布

    hyperfly@v1.0.0发布 本文地址http://yangjianyong.cn/?p=323转载无需经过作者本人授权 github地址:https://github.com/vankour/ ...

  4. 【SpringSecurity系列2】基于SpringSecurity实现前后端分离无状态Rest API的权限控制原理分析

    源码传送门: https://github.com/ningzuoxin/zxning-springsecurity-demos/tree/master/01-springsecurity-state ...

  5. 【SpringSecurity系列1】基于SpringSecurity实现前后端分离无状态Rest API的权限控制

    源码传送门: https://github.com/ningzuoxin/zxning-springsecurity-demos/tree/master/01-springsecurity-state ...

  6. 从零开始学习 asp.net core 2.1 web api 后端api基础框架(三)-创建Data Transfer Object

    原文:从零开始学习 asp.net core 2.1 web api 后端api基础框架(三)-创建Data Transfer Object 版权声明:本文为博主原创文章,未经博主允许不得转载. ht ...

  7. 从零开始学习 asp.net core 2.1 web api 后端api基础框架(四)-创建Controller

    原文:从零开始学习 asp.net core 2.1 web api 后端api基础框架(四)-创建Controller 版权声明:本文为博主原创文章,未经博主允许不得转载. https://blog ...

  8. 从零开始学习 asp.net core 2.1 web api 后端api基础框架(一)-环境介绍

    原文:从零开始学习 asp.net core 2.1 web api 后端api基础框架(一)-环境介绍 版权声明:本文为博主原创文章,未经博主允许不得转载. https://blog.csdn.ne ...

  9. 收集免费的接口服务,做一个api的搬运工

    hello, 大家好,今天给大家推荐的开源项目在某种程度上极大的方便了广大的开发者,这个开源项目统计了网上诸多的免费API,为广大开发者收集免费的接口服务,专心致志做一个API的搬运工,每月定时更新新 ...

随机推荐

  1. vue 单纯的获取经纬度 百度与高德 H5

    首先用百度的api举个例子 首先在index页面引入如下: <script type="text/javascript" src="http://api.map.b ...

  2. Genymotion 的那些事

    一.什么是Genymotion? Genymotion是一套完整的工具,它提供了Android虚拟环境. 支持Windows.Linux和Mac OS等操作系统. 在Android开发中可以代替安卓模 ...

  3. Delphi XE10百集视频教程计划

    1. 前言 本人现在的职业是Java程序员,一直想学习一个做桌面应用的编程语言,几年前无意中接触到Delphi,比VB功能强大,比C++语法更容易理解,加上Oracle的PL/SQL的底子,最终决定学 ...

  4. 《DSP using MATLAB》Problem 8.2

    代码: %% ------------------------------------------------------------------------ %% Output Info about ...

  5. NopCommerce3.9安装

    除非另外说明,否则本分类所有博文的NopCommerce都基于3.9版本. 用vs2015打开,其他版本的vs没试过. 首先打开解决方案,然后设置Nop.web为启动项目. 启动项目,项目即可自动编译 ...

  6. JSON对象获取指定元素以及JSON.parse() 与 JSON.stringify() 的区别

    利用 JSON.parse(param) 实现 例: var param = { "name" : "张三", "text" : { &qu ...

  7. vue 生产环境和测试环境的配置

    我们引用的是axios 给src目录增加 api 文件夹 里面写上index.js // 配置API接口地址 var root = process.env.API_ROOT // 引用axios va ...

  8. [转]8天玩转并行开发——第二天 Task的使用

    在我们了解Task之前,如果我们要使用多核的功能可能就会自己来开线程,然而这种线程模型在.net 4.0之后被一种称为基于 “任务的编程模型”所冲击,因为task会比thread具有更小的性能开销,不 ...

  9. leetcode 1071 Greatest Common Divisor of Strings

    lc1071 Greatest Common Divisor of Strings 找两个字符串的最长公共子串 假设:str1.length > str2.length 因为是公共子串,所以st ...

  10. 廖雪峰Java10加密与安全-6数字证书-1数字证书

    数字证书: 非对称加密算法:对数据进行加密/解密 签名算法:确保数据完整性和抗否认性 摘要算法:确保证书本身没有被篡改