JWT由Header、Payload、Signature组成,通过SigningMethodHS256生成签名,使用密钥创建Token并返回;2. 客户端在Authorization头携带Bearer Token,中间件解析并验证签名有效性;3. 验证通过后从中提取用户信息存入上下文,供后续处理使用;4. 路由通过authMiddleware保护接口,确保只有合法Token可访问受保护资源。
在Web开发中,身份验证是保障系统安全的重要环节。Golang结合JWT(JSON Web Token)是一种常见且高效的实现方式。JWT具备无状态、可扩展、跨域支持等优点,非常适合分布式系统中的用户认证。
JWT基本原理
JWT由三部分组成:Header、Payload 和 Signature。它们用点(.)连接成一个字符串,格式为 xxx.yyy.zzz。
服务器在用户登录成功后生成JWT,客户端后续请求携带该Token,服务器通过验证签名确认其有效性,无需查库或维护会话状态。
安装必要的包
使用 golang-jwt/jwt 包来处理Token的生成与解析:
立即学习“go语言免费学习笔记(深入)”;
go get github.com/golang-jwt/jwt/v5
生成JWT Token
在用户登录验证通过后,创建并返回Token。
示例代码:
func generateToken(userID string) (string, error) { claims := jwt.MapClaims{ "user_id": userID, "exp": time.Now().Add(time.Hour * 72).Unix(), // 72小时过期 }token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)return token.SignedString([]byte("your-secret-key"))
}
注意:密钥(如 "your-secret-key")应通过环境变量管理,避免硬编码。
验证JWT中间件
编写中间件拦截请求,检查Token有效性。
示例中间件:
func authMiddleware(next http.HandlerFunc) http.HandlerFunc { return func(w http.ResponseWriter, r *http.Request) { tokenString := r.Header.Get("Authorization") if tokenString == "" { http.Error(w, "Authorization header missing", http.StatusUnauthorized) return } // 去除 "Bearer " 前缀 tokenString = strings.TrimPrefix(tokenString, "Bearer ") token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) { if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok { return nil, fmt.Errorf("unexpected signing method") } return []byte("your-secret-key"), nil }) if err != nil || !token.Valid { http.Error(w, "Invalid or expired token", http.StatusUnauthorized) return } // 提取用户信息,可存入上下文 if claims, ok := token.Claims.(jwt.MapClaims); ok { userID := claims["user_id"].(string) ctx := context.WithValue(r.Context(), "userID", userID) next.ServeHTTP(w, r.WithContext(ctx)) return } http.Error(w, "Token claims invalid", http.StatusUnauthorized)}
}
在路由中使用
将中间件应用到需要保护的接口:
http.HandleFunc("/login", loginHandler)http.HandleFunc("/protected", authMiddleware(protectedHandler))
登录接口调用 generateToken 返回Token,受保护接口则自动验证Token。
基本上就这些。核心是生成Token、验证签名、提取信息。只要密钥安全、过期时间合理,JWT就能为Golang Web服务提供可靠的身份验证机制。
以上就是Golang使用JWT实现Web身份验证的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1404209.html
微信扫一扫 
支付宝扫一扫 
