程序员经验分享-hwhale

go 进阶 三方库之 jwt-go

2023-11-14

一. JWT 基础解释

  1. 先了解几个问题
  1. JSON数据使用base64url编码,只对JSON数据是先扁平化处理再用64个可读无冲突字符来表达,没有加密效果
  2. SHA256的摘要只是为JSON数据生成一个“指纹”,防止被篡改,属于完整性范畴,也无任何加密效果
  3. 摘要不等于签名,签名是用私钥加密摘要,默认情况下Token本身并没有任何加密机制,它依赖于HTTPS的通道保密能力,Token增加加密机制需要自行处理
  1. 在介绍JWT之前,我们可以先说一下实现用户验证发展的几个步骤
  1. 请求接口时使用http协议,http协议本身是一种无状态的协议,用户登录后,下次再次访问接口,无法判断用户身份,
  2. 进而提出了Cookie 与Session, cookie是存储在客户端的,如果被截获,可能会出现跨站请求伪造的攻击,session是存在服务端的,但是现在都基于微服务,需要考虑多服务节点情况下session同步问题
  3. 后续提出了基于token进行用户身份校验
  1. 简单说一下token进行用户身份验证的流程:
  1. 客户端使用用户名和密码请求登录, 服务端收到请求,验证用户名和密码
  2. 验证成功后,服务端会签发一个token,并将token返回给客户端
  3. 客户端收到token后,缓存token,后续向服务端发送请求时在header中携带服务端签发的token
  4. 服务端收到请求,先对客户端请求中携带的token进行验证
  5. 优点: cookie是无法跨域的,而token由于没有用到cookie(前提是将token放到请求头中)所以跨域后不会存在信息丢失问题,token机制在服务端不需要存储session信息,因为token自身包含了所有登录用户的信息,因此也就不需要session同步,更适用CDN:可以通过内容分发网络请求服务端的所有资料,更适用于移动端:因为移动端不支持cookie, 既然不使用cookie也就无需考虑CSRF
  1. 什么是JWT: JWT是JSON Web Token的简称,就是上述流程当中token的一种具体实现方式,通俗地说,JWT的本质就是一个保存了用户信息的Json字符串,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输
  2. JWT用户认证执行流程
  1. 前端将用户信息发送给后端(建议通过SSL加密的传输(HTTPS),从而避免敏感信息被嗅探)
  2. 后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,例如lll.zzz.xxx的字符串
  3. 后端将Token字符串作为登录成功的结果返回给前端,前端在后续请求接口时将Token放入HTTP请求头中的Authorization属性中(解决XSS和XSRF问题),用户退出登录时删除保存的JWT Token
  4. 后端接收到前端请求后先校验Token是否有效,比如检查签名是否正确,是否过期,token的接收方是否是自己等等
  1. 说一下JWT的优点
  1. 简洁:JWT Token数据量小,传输速度也很快
  2. JWT是跨语言的: 因为JWT Token是以JSON加密形式保存在客户端的,所以,原则上任何web形式都支持
  3. 不依赖于cookie和session, 不需要在服务端保存会话信息,特别适用于分布式微服务
  4. 既然不依赖于cookie和session,可以将token缓存到redis等,就不需要考虑session多服务节点的同步问题,及cookie无法跨域的问题,更适用与单点登录, 移动端

二. JWT Token 组成

  1. 前面说过JWT的本质就是一个保存了用户信息的Json字符串,编码后得到的一个JWTtoken,这个JWTtoken带有签名信息,接收后可以校验是否被篡改,那么这个Toke是怎么生成的,组成部分有哪些
  2. JWT由3部分组成:Header标头,Payload有效载荷和Signature签名, 在传输的时候,将这3部分分别进行Base64编码后连接形成最终传输的字符串
JWTString=Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)
  1. JWT Header标头,是用来描述JWT元数据的JSON对象,包含alg属性与typ属性,其中alg表示签名使用的算法,默认为HMAC SHA256(写为HS256), typ属性表示令牌的类型,在JWT令牌统一写为JWT,然后使用Base64URL算法将上述这个JSON对象转换为字符串保存,例如
{
  "alg": "HS256",
  "typ": "JWT"
}
  1. Payload有效载荷,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据,在JWT中默认有一下七个字段供选择, 这七个预定义字段并不要求强制使用,并且除以上默认字段外,我们还可以自定义私有字段,例如将包含用户信息的数据放到payload中

注意点: 默认情况下JWT只是采用base64算法进行了一次编码,并未加密的,拿到JWT字符串后可以转换回原本的JSON数据,因此不要构建隐私信息字段,比如用户的密码不要保存到JWT中,以防止信息泄露,默认情况下JWT只适合在网络中传输一些非敏感信息

//1.Payload有效载荷默认提供的七个预定义字段,不要求强制使用
iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT

//2.除了预定义的七个字段以外,我们也可以自定义Payload有效载荷字段,例如将包含用户信息的数据放到payload中
{
  "sub": "1234567890",
  "name": "Helen",
  "admin": true
}
  1. Signature签名,用来校验数据是否被篡改的,将base64UrlEncode编码后的header和payload两个数据进行拼接后,通过指定的算法与密钥secret进行加密后的一串哈码,并且secret密钥保存在服务器中不对外公开,默认加密算法HMACSHA256(),Signature签名生成公式示例

根据JWT Token中是否存在Signature签名又将JWT分为两类: 不使用Signature签名的JWT称为nonsecure JWT未经过签名,不安全的JWT,其header部分也没有指定签名算法, 使用了Signature签名的通过签名保证jwt不能被他人随意篡改,我们又称为JWS

HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)
  1. 在生成Signature签名时提到了一个secret或secretKey密钥,JWT的密钥或者密钥对,一般统一称为JSON Web Key,也就是JWK,根据对称加密与非对称加密,密钥的使用也有所不同
  1. 对称加密中: secretKey指加密密钥,用来生成签名与验签
  2. 非对称加密中: secretKey指私钥,只用来生成签名,但是不能用来验签(验签用的是公钥)
  3. 对称加密中使用同一个密钥进行加密与解密,因此这时候公钥不能泄漏,因此对称算法只适合服务端内部使用,不适合网络第三方,非对称加密通常服务端有私钥和公钥,使用私钥加密,使用公钥可以解密,相对来说更安全
  1. JWT中签名算法有三种:
  1. HMAC【哈希消息验证码(对称)】:HS256/HS384/HS512
  2. RSASSA【RSA签名算法(非对称)】(RS256/RS384/RS512)
  3. ECDSA【椭圆曲线数据签名算法(非对称)】(ES256/ES384/ES512)
  1. 完整的执行逻辑
  1. 接收到JWT Token数据后,获取header和payload通过base64解码获取到原数据,在header的alg属性中拿到签名的算法,在payload中获取有效数据
  2. signature是对header和payload数据的加密无法解码出原文,用来校验整个token数据是否被篡改
  3. 服务端在header中获取到加密算法后,利用该算法加上secret密钥对header,payload两个数据再次进行加密,拿到加密结果后与客户端发送过来的signature进行比对判断是否一致,
  4. 注意secret密钥只保存在服务端,而且对于不同的加密算法其含义有所不同,对于MD5类型的摘要加密算法来说secret密钥代表的是盐值

三. jwt-go 使用示例

  1. 简单解释
  1. 下方代码中实现了一个gin框架
  2. 内部提供了登入鉴权的接口/auth,与普通的业务接口/home
  3. 前端携带用户信息首先请求/auth接口,接收到请求后,判断该用户是否存在,如果存在会基于jwt,秘钥,生成一个指定时间有效的token响应给调用方
  4. 在进行其它业务时,例如调用/home,该接口绑定了一个jwtAuthMiddleware中间件, 接收到请求后,先执行中间件,通过jwt校验用户token是否合法有效,如果不合法则拒绝,或重定向到登入页
import (
	"encoding/base64"
	"errors"
	"fmt"
	"github.com/dgrijalva/jwt-go"
	"net/http"
	"strings"
	"time"

	"github.com/gin-gonic/gin"
)

const TokenExpireDuration = time.Hour * 2

var Secret = []byte("秘钥吗?")

type UserInfo struct {
	UserName string `json:"user_name" form:"user_name"`
	PassWord string `json:"pass_word" form:"pass_word"`
}

type MyClaims struct {
	UserName string
	jwt.StandardClaims
}

//登录鉴权函数
func authHandler(c *gin.Context) {
	//1.接收请求中的用户信息
	user := &UserInfo{}
	err := c.ShouldBindJSON(user)
	if err != nil {
		c.JSON(200, gin.H{"code": 2001, "msg": "invalid params"})
		return
	}

	//2.模拟校验判断该用户是否存在
	if user.UserName != "aaa" || user.PassWord != "123qwd" {
		c.JSON(200, gin.H{"code": 2002, "msg": "鉴权失败"})
		return
	}

	//3.存在,通过jwt,生成token签名,并响应
	cla := MyClaims{
		user.UserName,
		jwt.StandardClaims{
			ExpiresAt: time.Now().Add(TokenExpireDuration).Unix(), // 过期时间
			Issuer:    "lx-jwt",                                   // 签发人
		},
	}
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, cla)
	//进行签名生成对应的token
	tokenString, _ := token.SignedString(Secret)
	c.JSON(200, gin.H{"code": 0, "msg": "success", "data": gin.H{"token": tokenString}})
	return
}

//中间件,认证token合法性
func jwtAuthMiddleware() gin.HandlerFunc {
	return func(c *gin.Context) {
		authHandler := c.Request.Header.Get("authorization")
		if authHandler == "" {
			c.JSON(200, gin.H{"code": 2003, "msg": "请求头部auth为空"})
			c.Abort()
			return
		}

		// 前两部门可以直接解析出来
		jwt := strings.Split(authHandler, ".")
		cnt := 0
		for _, val := range jwt {
			cnt++
			if cnt == 3 {
				break
			}
			msg, _ := base64.StdEncoding.DecodeString(val)
			fmt.Println("val ->", string(msg))
		}

		//调用下方自己实现的token解析函数,并且在判断token是否过期
		mc, err := ParseToken(authHandler)
		if err != nil {
			fmt.Println("err = ", err.Error())
			c.JSON(http.StatusOK, gin.H{
				"code": 2005,
				"msg":  "无效的Token",
			})
			c.Abort()
			return
		}

		// 将当前请求的username信息保存到请求的上下文c上
		c.Set("username", mc.UserName)
		c.Next() // 后续的处理函数可以用过c.Get("username")来获取当前请求的用户信息
	}
}

// parse token
func ParseToken(tokenString string) (*MyClaims, error) {
	token, err := jwt.ParseWithClaims(tokenString, &MyClaims{}, func(token *jwt.Token) (interface{}, error) {
		return Secret, nil
	})
	if err != nil {
		return nil, err
	}
	if claims, ok := token.Claims.(*MyClaims); ok && token.Valid {
		return claims, nil
	}
	return nil, errors.New("invalid token")
}

func main() {
	r := gin.Default()
	//1.登入鉴权接口,调用authHandler,对用户信息进行校验,校验通过通过jwt生成的token并返回
	r.POST("/auth", authHandler)
	//2.普通接口,该接口注册了一个jwtAuthMiddleware中间件
	//在中间件中会获取用户token,基于jwt校验是否合法,合法放行,否则拒绝
	r.GET("/home", jwtAuthMiddleware(), homeHandler)
	r.Run(":8080")
}

//普通业务接口
func homeHandler(c *gin.Context) {
	username := c.MustGet("username").(string)
	c.JSON(http.StatusOK, gin.H{
		"code": 2000,
		"msg":  "success",
		"data": gin.H{"username": username},
	})
}
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

十一 Go 常用三方库与常用工具

Golang

http

Java

go 进阶 三方库之 jwt-go 的相关文章

  • 日期语句之间的 JPQL SELECT [关闭]

    Closed 这个问题是无法重现或由拼写错误引起 help closed questions 目前不接受答案 我想将此 SQL 语句转换为等效的 JPQL SELECT FROM events WHERE events date BETWE

  • Junit:如何测试从属性文件读取属性的方法

    嗨 我有课ReadProperty其中有一个方法ReadPropertyFile返回类型的Myclass从属性文件读取参数值并返回Myclass目的 我需要帮助来测试ReadPropertyFile方法与JUnit 如果可能的话使用模拟文件

  • 在内存中使用 byte[] 创建 zip 文件。 Zip 文件总是损坏

    我创建的 zip 文件有问题 我正在使用 Java 7 我尝试从字节数组创建一个 zip 文件 其中包含两个或多个 Excel 文件 应用程序始终完成 没有任何异常 所以 我以为一切都好 当我尝试打开 zip 文件后 Windows 7 出

  • 动态选择端口号?

    在 Java 中 我需要获取端口号以在同一程序的多个实例之间进行通信 现在 我可以简单地选择一些固定的数字并使用它 但我想知道是否有一种方法可以动态选择端口号 这样我就不必打扰我的用户设置端口号 这是我的一个想法 其工作原理如下 有一个固定

  • HSQL - 识别打开连接的数量

    我正在使用嵌入式 HSQL 数据库服务器 有什么方法可以识别活动打开连接的数量吗 Yes SELECT COUNT FROM INFORMATION SCHEMA SYSTEM SESSIONS

  • 如何在 Spring 中禁用使用 @Component 注释创建 bean?

    我的项目中有一些用于重构逻辑的通用接口 它看起来大约是这样的 public interface RefactorAwareEntryPoint default boolean doRefactor if EventLogService wa

  • 如何获取之前的URL?

    我需要调用我的网络应用程序的 URL 例如 如果有一个从 stackoverflow com 到我的网站 foo com 的链接 我需要 Web 应用程序 托管 bean 中的 stackoverflow 链接 感谢所有帮助 谢谢 并不总是

  • 在 Jar 文件中运行 ANT build.xml 文件

    我需要使用存储在 jar 文件中的 build xml 文件运行 ANT 构建 该 jar 文件在类路径中可用 是否可以在不分解 jar 文件并将 build xml 保存到本地目录的情况下做到这一点 如果是的话我该怎么办呢 Update

  • 谷歌应用程序引擎会话

    什么是java应用程序引擎 默认会话超时 如果我们将会话超时设置为非常非常长的时间 会不会产生不良影响 因为谷歌应用程序引擎会话默认情况下仅存储在数据存储中 就像facebook一样 每次访问该页面时 会话仍然永远存在 默认会话超时设置为

  • 将流转换为 IntStream

    我有一种感觉 我在这里错过了一些东西 我发现自己做了以下事情 private static int getHighestValue Map

  • Spring Boot Data JPA 从存储过程接收多个输出参数

    我尝试通过 Spring Boot Data JPA v2 2 6 调用具有多个输出参数的存储过程 但收到错误 DEBUG http nio 8080 exec 1 org hibernate engine jdbc spi SqlStat

  • tomcat 中受密码保护的应用程序

    我正在使用 JSP Servlet 开发一个Web应用程序 并且我使用了Tomcat 7 0 33 as a web container 所以我的要求是tomcat中的每个应用程序都会password像受保护的manager applica

  • 在我的 Spring Boot 示例中无法打开版本 3 中的 Swagger UI

    我在 Spring Boot 示例中打开 swagger ui 时遇到问题 当我访问 localhost 8080 swagger ui 或 localhost 8080 root api name swagger ui 时出现这种错误 S

  • 获取文件的总大小(以字节为单位)[重复]

    这个问题在这里已经有答案了 可能的重复 java 高效获取文件大小 https stackoverflow com questions 116574 java get file size efficiently 我有一个名为 filenam

  • 为什么 Java 8 不允许非公共默认方法?

    让我们举个例子 public interface Testerface default public String example return Hello public class Tester implements Testerface

  • Android:无法使用 DbHelper 和 Contract 类将数据插入 SQLite

    public class Main2Activity extends AppCompatActivity private EditText editText1 editText2 editText3 editText4 private Bu

  • 包 javax.el 不存在

    我正在使用 jre6 eclipse 并导入 javax el 错误 包 javax el 不存在 javac 导入 javax el 过来 这不应该是java的一部分吗 谁能告诉我为什么会这样 谢谢 米 EL 统一表达语言 是 Java

  • 使用反射覆盖最终静态字段是否有限制?

    在我的一些单元测试中 我在最终静态字段上的反射中遇到了奇怪的行为 下面是说明我的问题的示例 我有一个基本的 Singleton 类 其中包含一个 Integer public class BasicHolder private static

  • 使用 svn 1.8.x、subclise 1.10 的 m2e-subclipse 连接器在哪里?

    我读到 m2e 的生产商已经停止生产 svn 1 7 以外的任何版本的 m2e 连接器 Tigris 显然已经填补了维护 m2e subclipse 连接器的空缺 Q1 我的问题是 使用 svn 1 8 x 的 eclipse 更新 url

  • Java中super关键字的范围和使用

    为什么无法使用 super 关键字访问父类变量 使用以下代码 输出为 feline cougar c c class Feline public String type f public Feline System out print fe

随机推荐

  • Linux /etc/resolv.conf DNS服务器IP地址修改被覆盖问题

    为了临时修改DNS服务器IP地址 可能会选择手动修改 etc resolv conf 文件 而在重启Network Manager服务后 sudo systemctl restart NetworkManager resolv conf 文

  • mvc三层架构(用户信息管理系统)

    mvc三层架构 实战项目 用户信息管理系统 一 三层架构 View 层 用于接收用户提交请求的代码 Service 层 系统的业务逻辑主要在这里完成 Dao 层 直接操作数据库的代码 二 三层架构图 三 用户信息管理系统 利用MVC三层架构

  • 金蝶K3客户端:组件KdSvrMgr无法正常工作 排查分析步骤

    远程组件配置工具无法测试通过 并出错 对于以上错误 在其他的地方还会表现为 拒绝的权限 这样子的信息 其实问题实质是一样的 分析如下 1 远程中间层机器和本机网络不通 可以使用ping命令确认是否网络通畅 如果网络通了还是问题依旧 进入分析

  • LeetCode 448. Find All Numbers Disappeared in an Array

    原题网址 https leetcode com problems find all numbers disappeared in an array Given an array of integers where 1 a i n n siz

  • 多项式与快速傅里叶变换(FFT)

    上次算导老师讲分治高精度乘法 n 1 8左右的复杂度 并且说acm里就有这个 然后我小声bb说acm里高精度快速乘是nlogn的 然后一阵虚因为自己不会FFT 今天算法课又提到了并且我和同学吹牛快速傅里叶变换只要nlogn巴拉巴拉 然后又一

  • 使用kubebuilder结合code-generator开发k8s controller(1)

    为了开了controller 先后分析和尝试了几周 现把步骤和踩的坑记录分享一下 使用kubebuilder结合code generator开发k8s controller 1 使用kubebuilder结合code generator开发

  • 查看matlab中函数源代码的方法

    有几种方法可以实现查看matlab里自带函数的源代码 在命令窗口中输入 1 type 函数名 如 type rgb2gray 或者 type rgb2gray m 即可在命令窗口中显示此函数的源代码 2 open 函数名 如 open rg

  • 数据结构与算法--用c语言建立顺序表以及其相关操作

    一 线性表的介绍 线性表分为顺序表和单链表 线性表是数据结构最基础的结构之一 他们与栈 队列 串和数组都属于线性结构 由n个 n gt 0 个数据特性相同的元素构成的有限序列称为线性表 n称为线性表的长度 n 0时称为空表 对于非空的线性表

  • (UE4 4.20 ) UE4的Actor生命周期(1) 之 SpawnActor , SpawnActorDeferred 产生 Actor 和 AActor 初始化的执行流程

    在https docs unrealengine com en us Programming UnrealArchitecture Actors ActorLifecycle 官方的编程文档中 UE4官方给出了有关Actor生命周期的宝贵资

  • 如何用Python写一个爬虫

    在当今的互联网时代 网络爬虫已经成为了一种非常重要的技术手段 通过爬虫 我们可以快速地获取大量的数据并进行分析 这对于很多行业都非常有帮助 在本篇文章中 我们将详细介绍如何用Python写一个爬虫 1 爬虫的基本原理 在开始编写爬虫之前 我

  • C++类属(泛型)——模板详解

    第八章 类属 泛型 模板 1 概述 在程序设计中经常会用到这样的一些程序实体 这些程序实体的实现和所完成的基本功能相同 不同的地方仅在于它们所涉及的数据类型不同 对于这些函数或类 如果能分别只用一个函数和一个类来描述它们 将会大大简化程序设

  • 设置openEuler(欧拉系统)安装源

    在安装openEuler时 完整的 ISO映像 使用的是ISO的源一般不用设置安装源 安装netinst版需要连网下载文件 所以需要设置安装源 下面将按照提示一步步配置 先设置网络连网 然后点完成 选择硬盘 默认自动分区 添加安装源 官方列

  • 使用MicroPython制作红绿灯模拟器

    我们将使用行人步行按钮实现交通信号灯 该项目与LED配合使用 这使我们能够在代码执行时看到其状态 对于交通信号灯 也称为刹车灯 我们将使用红色 黄色和绿色的LED来匹配交通信号灯上的相同颜色的灯 我们还将使用红色和黄色的LED来表示 请勿行

  • vue+openlayers实现地图打点

    前言 openlayers的使用 一 使用步骤 1 引入库 代码如下 示例 npm install ol import ol ol css 样式 import Map from ol Map 地图对象 import Feature from

  • sed:当替换内容存在变量

    sed命令使用变量三种方式 1 使用单引号 变量处使用单引号 双引号把变量包括起来 sed i s eco ori g block vf 2 使用双引号 变量直接引用即可 sed i s eco ori g block vf 3 使用单引号

  • Nacos使用教程

    Spring Cloud是一个基于Spring Boot的微服务框架 它提供了一系列的组件和工具 可以帮助开发人员快速构建和部署分布式应用程序 其中 Nacos是一个新兴的服务发现和配置管理组件 可以帮助开发人员轻松地管理微服务的注册 发现

  • dbeaver问题:Public Key Retrieval is not allowed

    1 问题描述 连接数据库时出现错误 Public Key Retrieval is not allowed 2 解决方案 编辑连接信息 设置驱动属性为true 刷新一下

  • 1流明等于多少lux_说说投影仪ANSI亮度和流明的区别

    作为一个投影行业从业者 对于现在市面上的LED光源小微投动不动多少多少ANSI亮度 多少多少光源亮度 实在是看不下去了 不忍看到大家再被一些无良厂商忽悠 先说说现在市面上大家在标的ANSI亮度 ANSI是一个9点测量方法 即投出画面 画面大

  • 实现内网https 内网部署https SpringBoot

    最近项目中要在内网中部署https网址 之前对https完全不了解 一脸懵逼 好在在一顿疯狂必应之后 成功完成了部署 首先需要明确的是 由于是在内网部署 所以完全不需要搞得那么复杂 宝塔啊 申请域名啊什么的 零 前置条件 在本地安装好jdk

  • go 进阶 三方库之 jwt-go

    目录 一 JWT 基础解释 二 JWT Token 组成 三 jwt go 使用示例 一 JWT 基础解释 先了解几个问题 JSON数据使用base64url编码 只对JSON数据是先扁平化处理再用64个可读无冲突字符来表达 没有加密效果

热门标签