正文

go实战--golang中使用jwt(jsonwebtoken)

Bigben  2022-02-16  456

关键词：

http://blog.csdn.net/wangshubo1989/article/details/74529333

之前写过关于golang中如何使用cookie的博客：
实战–go中使用cookie

今天就来跟大家简单介绍一下golang中如何使用token，当然是要依赖一下github上的优秀的开源库了。

首先，要搞明白一个问题，token、cookie、session的区别。

token、cookie、session的区别

Cookie
Cookie总是保存在客户端中，按在客户端中的存储位置，可分为内存Cookie和硬盘Cookie。

内存Cookie由浏览器维护，保存在内存中，浏览器关闭后就消失了，其存在时间是短暂的。硬盘Cookie保存在硬盘里，有一个过期时间，除非用户手工清理或到了过期时间，硬盘Cookie不会被删除，其存在时间是长期的。所以，按存在时间，可分为非持久Cookie和持久Cookie。

cookie 是一个非常具体的东西，指的就是浏览器里面能永久存储的一种数据，仅仅是浏览器实现的一种数据存储功能。

cookie由服务器生成，发送给浏览器，浏览器把cookie以key-value形式保存到某个目录下的文本文件内，下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的，所以浏览器加入了一些限制确保cookie不会被恶意使用，同时不会占据太多磁盘空间，所以每个域的cookie数量是有限的。

Session

session 从字面上讲，就是会话。这个就类似于你和一个人交谈，你怎么知道当前和你交谈的是张三而不是李四呢？对方肯定有某种特征（长相等）表明他就是张三。

session 也是类似的道理，服务器要知道当前发请求给自己的是谁。为了做这种区分，服务器就要给每个客户端分配不同的“身份标识”，然后客户端每次向服务器发请求的时候，都带上这个“身份标识”，服务器就知道这个请求来自于谁了。至于客户端怎么保存这个“身份标识”，可以有很多种方式，对于浏览器客户端，大家都默认采用 cookie 的方式。

服务器使用session把用户的信息临时保存在了服务器上，用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全，可是session有一个缺陷：如果web服务器做了负载均衡，那么下一个操作请求到了另一台服务器的时候session会丢失。

Token
token的意思是“令牌”，是用户身份的验证方式，最简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名，由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串，可以防止恶意第三方拼接token请求服务器)。还可以把不变的参数也放进token，避免多次查库

这里的token是指SON Web Token：
JSON Web Token (JWT) is a compact URL-safe means of representing claims to be transferred between two parties. The claims in a JWT are encoded as a JSON object that is digitally signed using JSON Web Signature (JWS).

使用JWT进行认证
JSON Web Tokens (JWT) are a more modern approach to authentication.

As the web moves to a greater separation between the client and server, JWT provides a wonderful alternative to traditional cookie based authentication models.

JWTs provide a way for clients to authenticate every request without having to maintain a session or repeatedly pass login credentials to the server.

用户注册之后, 服务器生成一个 JWT token返回给浏览器, 浏览器向服务器请求数据时将 JWT token 发给服务器, 服务器用 signature 中定义的方式解码
JWT 获取用户信息.

一个 JWT token包含3部分:
1. header: 告诉我们使用的算法和 token 类型
2. Payload: 必须使用 sub key 来指定用户 ID, 还可以包括其他信息比如 email, username 等.
3. Signature: 用来保证 JWT 的真实性. 可以使用不同算法
技术分享图片

JWT应用

上面说了那么多，接下来就是要coding了。
用到的开源库：
github.com/codegangsta/negroni
Idiomatic HTTP Middleware for Golang
http的一个中间件

github.com/dgrijalva/jwt-go
Golang implementation of JSON Web Tokens (JWT)

github.com/dgrijalva/jwt-go/request

这里分两个api，一个是通过login获取token，然后根据token访问另一个api。首先看看login是如何生成token的：
当然首先是验证用户名和密码，为了节省篇幅这里只是代码片段，完整代码最后献上。

    token := jwt.New(jwt.SigningMethodHS256)
    claims := make(jwt.MapClaims)
    claims["exp"] = time.Now().Add(time.Hour * time.Duration(1)).Unix()
    claims["iat"] = time.Now().Unix()
    token.Claims = claims

    if err != nil {
        w.WriteHeader(http.StatusInternalServerError)
        fmt.Fprintln(w, "Error extracting the key")
        fatal(err)
    }

    tokenString, err := token.SignedString([]byte(SecretKey))
    if err != nil {
        w.WriteHeader(http.StatusInternalServerError)
        fmt.Fprintln(w, "Error while signing the token")
        fatal(err)
    }

接下来就是验证token的中间件了：

    token, err := request.ParseFromRequest(r, request.AuthorizationHeaderExtractor,
        func(token *jwt.Token) (interface{}, error) {
            return []byte(SecretKey), nil
        })

    if err == nil {
        if token.Valid {
            next(w, r)
        } else {
            w.WriteHeader(http.StatusUnauthorized)
            fmt.Fprint(w, "Token is not valid")
        }
    } else {
        w.WriteHeader(http.StatusUnauthorized)
        fmt.Fprint(w, "Unauthorized access to this resource")
    }

最后完整代码：

package main

import (
    "encoding/json"
    "fmt"
    "log"
    "net/http"
    "strings"
    "time"

    "github.com/codegangsta/negroni"
    "github.com/dgrijalva/jwt-go"
    "github.com/dgrijalva/jwt-go/request"
)

const (
    SecretKey = "welcome to wangshubo‘s blog"
)

func fatal(err error) {
    if err != nil {
        log.Fatal(err)
    }
}

type UserCredentials struct {
    Username string `json:"username"`
    Password string `json:"password"`
}

type User struct {
    ID       int    `json:"id"`
    Name     string `json:"name"`
    Username string `json:"username"`
    Password string `json:"password"`
}

type Response struct {
    Data string `json:"data"`
}

type Token struct {
    Token string `json:"token"`
}

func StartServer() {

    http.HandleFunc("/login", LoginHandler)

    http.Handle("/resource", negroni.New(
        negroni.HandlerFunc(ValidateTokenMiddleware),
        negroni.Wrap(http.HandlerFunc(ProtectedHandler)),
    ))

    log.Println("Now listening...")
    http.ListenAndServe(":8080", nil)
}

func main() {
    StartServer()
}

func ProtectedHandler(w http.ResponseWriter, r *http.Request) {

    response := Response{"Gained access to protected resource"}
    JsonResponse(response, w)

}

func LoginHandler(w http.ResponseWriter, r *http.Request) {

    var user UserCredentials

    err := json.NewDecoder(r.Body).Decode(&user)

    if err != nil {
        w.WriteHeader(http.StatusForbidden)
        fmt.Fprint(w, "Error in request")
        return
    }

    if strings.ToLower(user.Username) != "someone" {
        if user.Password != "[email protected]" {
            w.WriteHeader(http.StatusForbidden)
            fmt.Println("Error logging in")
            fmt.Fprint(w, "Invalid credentials")
            return
        }
    }

    token := jwt.New(jwt.SigningMethodHS256)
    claims := make(jwt.MapClaims)
    claims["exp"] = time.Now().Add(time.Hour * time.Duration(1)).Unix()
    claims["iat"] = time.Now().Unix()
    token.Claims = claims

    if err != nil {
        w.WriteHeader(http.StatusInternalServerError)
        fmt.Fprintln(w, "Error extracting the key")
        fatal(err)
    }

    tokenString, err := token.SignedString([]byte(SecretKey))
    if err != nil {
        w.WriteHeader(http.StatusInternalServerError)
        fmt.Fprintln(w, "Error while signing the token")
        fatal(err)
    }

    response := Token{tokenString}
    JsonResponse(response, w)

}

func ValidateTokenMiddleware(w http.ResponseWriter, r *http.Request, next http.HandlerFunc) {

    token, err := request.ParseFromRequest(r, request.AuthorizationHeaderExtractor,
        func(token *jwt.Token) (interface{}, error) {
            return []byte(SecretKey), nil
        })

    if err == nil {
        if token.Valid {
            next(w, r)
        } else {
            w.WriteHeader(http.StatusUnauthorized)
            fmt.Fprint(w, "Token is not valid")
        }
    } else {
        w.WriteHeader(http.StatusUnauthorized)
        fmt.Fprint(w, "Unauthorized access to this resource")
    }

}

func JsonResponse(response interface{}, w http.ResponseWriter) {

    json, err := json.Marshal(response)
    if err != nil {
        http.Error(w, err.Error(), http.StatusInternalServerError)
        return
    }

    w.WriteHeader(http.StatusOK)
    w.Header().Set("Content-Type", "application/json")
    w.Write(json)
}

通过postman进行验证：
login:
技术分享图片

根据获得token进行get请求：
技术分享图片

golang入门到项目实战golang中的if语句

参考技术Ago语言中的if语句和其他语言中的类似，都是根据给定的条件表达式运算结果来，判断执行流程。注意：在go语言中布尔表达式不用使用括号。根据布尔值flag判断程序运行结果初始变量可以声明在布尔表达式里面，注意... 查看详情

golang入门到项目实战|golang函数(代码片段)

golang函数简介函数的go语言中的一级公民，我们把所有的功能单元都定义在函数中，可以重复使用。函数包含函数的名称、参数列表和返回值类型，这些构成了函数的签名（signature）。go语言中函数特性go语言... 查看详情

golang入门到项目实战第一个golang应用

参考技术A1.创建一个文件夹，例如：golang入门到项目实战2.在golang入门到项目实战文件夹中创建一个go文件，例如:test.go3.在test.go中输入如下内容：4.编译执行goruntest.go5.可仅选择编译执行gobuildtest.go，则目录下会多出个exe程序查看详情

golang入门到项目实战|go语言中的流程控制(代码片段)

go语言中的条件条件语句是用来判断给定的条件是否满足(表达式值是否为true或者false)，并根据判断的结果(真或假)决定执行的语句，go语言中的条件语句也是这样的。go语言中的条件语句包含如下几种情况if语句：if语... 查看详情

golang入门到项目实战|golang中的if语句(代码片段)

go语言中的if语句和其他语言中的类似，都是根据给定的条件表达式运算结果来，判断执行流程。go语言if语句语法if布尔表达式/*在布尔表达式为true时执行*/注意：在go语言中布尔表达式不用使用括号。go语言if语句实例... 查看详情

golang入门到项目实战|golang指针(代码片段)

Go语言中的函数传参都是值拷贝，当我们想要修改某个变量的时候，我们可以创建一个指向该变量地址的指针变量。传递数据使用指针，而无需拷贝数据。类型指针不能进行偏移和运算。Go语言中的指针操作非常简单&#... 查看详情

在 Angular / Golang 项目中使用 JWT

】在Angular/Golang项目中使用JWT【英文标题】：UsingJWTinaAngular/Golangproject【发布时间】：2016-08-2521:18:23【问题描述】：我在弄清楚如何为我的项目正确使用JWT时遇到问题。情况是这样的：我有一个网站，人们可以通过twitch登录，它... 查看详情

golang入门到项目实战|go语言遍历map(代码片段)

可以使用forrange循环进行map遍历，得到key和value值。遍历keypackagemainimport"fmt"funcmain()m:=make(map[string]string)m["name"]="tom"m["age"]="20"m["email 查看详情

golang入门到项目实战|golang字符串(代码片段)

一个Go语言字符串是一个任意字节的常量序列。[]bytego语言字符串字面量在Go语言中，字符串字面量使用双引号""或者反引号'来创建。双引号用来创建可解析的字符串，支持转义，但不能用来引用多行；反... 查看详情

golang入门到项目实战|go语言切片元素的添加和删除copy(代码片段)

...run"/Users/guoliang/SynologyDrive/软件开发/go/golang入门到项目实战/goproject/360duote.com/pro01/test.go"s1:[12345]s4:[12345]删除元查看详情

go语言自学系列|golang中的if语句(代码片段)

视频来源：B站《golang入门到项目实战[2021最新Go语言教程，没有废话，纯干货！持续更新中...]》一边学习一边整理老师的课程内容及试验笔记，并与大家分享，侵权即删，谢谢支持！附上汇总贴ÿ... 查看详情

golang在go（golang）中使用http.get的示例(代码片段)

查看详情

golang入门到项目实战|golang运算符(代码片段)

Go语言内置的运算符有：算术运算符关系运算符逻辑运算符位运算符赋值运算符算术运算符运算符描述+相加-相减*相乘/相除%求余注意：++（自增）和--（自减）在Go语言中是单独的语句，并不是... 查看详情

golang编程思维和工程实战(代码片段)

...ang的一些编程思维和思想，以及总结一些常见的优雅编程实战技巧。作者：allendbwu，腾讯PCG后台开发工程师一Golang编程思维首先，我们先来看下最基本的，就是Golang的学习技巧，比如通读Golang的一些好的文章：FrequentlyAskedQuestions... 查看详情

golang简单实现jwt验证(beegoxormjwt)(代码片段)

程序目录结构简单实现，用户登录后返回一个jwt的token，下次请求带上token请求用户信息接口并返回信息。app.conf文件内容（可以用个beego直接读取里面的内容）写的是一个jwt的secretkeyjwtkey="12345678"config.json里面保存的是连接数据库... 查看详情

golang实战项目-b2c电商平台(代码片段)

Golang实战项目-B2C电商平台(1)###--完成商品管理模块和CMS(内容管理模块)技术选型MySqlGolangEasyUIKindeditor使用MVC开发模式Model:模型层View:视图层Controller:控制器层项目搭建新建项目:ego,在Goland中修改GOROOT为当前项目路径(不修改无法build)... 查看详情

golang入门到项目实战|golang构造函数(代码片段)

...run"/Users/guoliang/SynologyDrive/软件开发/go/golang入门到项目实战/goproject/360duote.com/pro01/test.go"person:tom20 查看详情

在golang中使用leveldb

...个。可是该库文档全然没有，而且在网上没发现有人用于实战环境。对其是否能在生产环境中使用打上问号，保险起见，我还是决定不使用。由于leveldb有c的接口，所以通过cgo能非常方便的进行集成，所以我决定採用该种方式，... 查看详情