詳解Go-JWT-RESTful身份認證教程
1.什麼是JWT
JWT(JSON Web Token)是一個非常輕巧的規範,這個規範允許我們使用JWT在使用者和伺服器之間傳遞安全可靠的資訊,
一個JWT由三部分組成,Header頭部、Claims載荷、Signature簽名,
JWT原理類似我們加蓋公章或手寫簽名的的過程,合同上寫了很多條款,不是隨便一張紙隨便寫啥都可以的,必須要一些證明,比如簽名,比如蓋章,JWT就是通過附加簽名,保證傳輸過來的資訊是真的,而不是偽造的,
它將使用者資訊加密到token裡,伺服器不儲存任何使用者資訊,伺服器通過使用儲存的金鑰驗證token的正確性,只要正確即通過驗證,
2.JWT構成
一個JWT由三部分組成,
- Header頭部:頭部,表明型別和加密演算法
- Claims載荷:宣告,即載荷(承載的內容)
- Signature簽名:簽名,這一部分是將header和claims進行base64轉碼後,並用header中宣告的加密演算法加鹽(secret)後構成,即:
let tmpstr = base64(header)+base64(claims) let signature = encrypt(tmpstr,secret) //最後三者用"."連線,即: let token = base64(header)+"."+base64(claims)+"."+signature
3.javascript提取JWT字串荷載資訊
JWT裡面payload可以包含很多欄位,欄位越多你的token字串就越長.
你的HTTP請求通訊的傳送的資料就越多,回到之介面響應時間等待稍稍的變長一點點.
一下程式碼就是前端javascript從payload獲取登入的使用者資訊.
當然後端middleware也可以直接解析payload獲取使用者資訊,減少到資料庫中查詢user表資料.介面速度會更快,資料庫壓力更小.
後端檢查JWT身份驗證時候當然會校驗payload和Signature簽名是否合法.
let tokenString = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.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.tGjukvuE9JVjzDa42iGfh_5jIembO5YZBZDqLnaG6KQ' function parseTokenGetUser(jwtTokenString) { let base64Url = jwtTokenString.split('.')[1]; let base64 = base64Url.replace(/-/g,'+').replace(/_/g,'/'); let jsonPayload = decodeURIComponent(atob(base64).split('').map(function (c) { return '%' + ('00' + c.charCodeAt(0).toString(16)).slice(-2); }).join('')); let user = JSON.parse(jsonPayload); localStorage.setItem("token",jwtTokenString); localStorage.setItem("expire_ts",user.exp); localStorage.setItem("user",jsonPayload); return user; } parseTokenGetUser(tokenString)
複製上面javascript程式碼到瀏覽器console中執行就可以解析出使用者資訊了! 當然你要可以使用線上工具來解析jwt token的payload荷載
JWT線上解析工具
4. go語言Gin框架實現JWT使用者認證
接下來我將使用最受歡迎的gin-gonic/gin 和 dgrijalva/jwt-go
這兩個package來演示怎麼使用JWT身份認證.
4.1 登入介面
4.1.1 登入介面路由(login-route)
https://github.com/libragen/felix/blob/master/ssh2ws/ssh2ws.go
r := gin.New() r.MaxMultipartMemory = 32 << 20 //sever static file in http's root path binStaticMiddleware,err := felixbin.NewGinStaticBinMiddleware("/") if err != nil { return err } //支援跨域 mwCORS := cors.New(cors.Config{ AllowOrigins: []string{"*"},AllowMethods: []string{"PUT","PATCH","POST","GET","DELETE"},AllowHeaders: []string{"Origin","Authorization","Content-Type"},ExposeHeaders: []string{"Content-Type"},AllowCredentials: true,AllowOriginFunc: func(origin string) bool { return true },MaxAge: 2400 * time.Hour,}) r.Use(binStaticMiddleware,mwCORS) { r.POST("comment-login",internal.LoginCommenter) //評論使用者登陸 r.POST("comment-register",internal.RegisterCommenter) //評論使用者註冊 } api := r.Group("api") api.POST("admin-login",internal.LoginAdmin) //管理後臺登陸
internal.LoginCommenter
和 internal.LoginAdmin
這兩個方法是一樣的,
只需要關注其中一個就可以了,我們就關注internal.LoginCommenter
4.1.2 登入login handler
編寫登入的handler
https://github.com/libragen/felix/blob/master/ssh2ws/internal/h_login.go
func LoginCommenter(c *gin.Context) { var mdl model.User err := c.ShouldBind(&mdl) if handleError(c,err) { return } //獲取ip ip := c.ClientIP() //roleId 8 是評論系統的使用者 data,err := mdl.Login(ip,8) if handleError(c,err) { return } jsonData(c,data) }
其中最關鍵的是mdl.Login(ip,8)
這個函式
https://github.com/libragen/felix/blob/master/model/m_users.go
- 1.資料庫查詢使用者
- 2.校驗使用者role_id
- 3.比對密碼
- 4.防止密碼洩露(清空struct的屬性)
- 5.生成JWT-string
//Login func (m *User) Login(ip string,roleId uint) (string,error) { m.Id = 0 if m.Password == "" { return "",errors.New("password is required") } inputPassword := m.Password //獲取登入的使用者 err := db.Where("username = ? or email = ?",m.Username,m.Username).First(&m).Error if err != nil { return "",err } //校驗使用者角色 if (m.RoleId & roleId) != roleId { return "",fmt.Errorf("not role of %d",roleId) } //驗證密碼 //password is set to bcrypt check if err := bcrypt.CompareHashAndPassword([]byte(m.HashedPassword),[]byte(inputPassword)); err != nil { return "",err } //防止密碼洩露 m.Password = "" //生成jwt-string return jwtGenerateToken(m,time.Hour*24*365) }
4.1.2 生成JWT-string(核心程式碼)
1.自定義payload結構體,不建議直接使用 dgrijalva/jwt-go jwt.StandardClaims
結構體.因為他的payload包含的使用者資訊太少.
2.實現 type Claims interface
的 Valid() error
方法,自定義校驗內容
3.生成JWT-string jwtGenerateToken(m *User,d time.Duration) (string,error)
https://github.com/libragen/felix/blob/master/model/m_jwt.go
package model import ( "errors" "fmt" "time" "github.com/dgrijalva/jwt-go" "github.com/sirupsen/logrus" ) var AppSecret = ""//viper.GetString會設定這個值(32byte長度) var AppIss = "github.com/libragen/felix"//這個值會被viper.GetString重寫 //自定義payload結構體,不建議直接使用 dgrijalva/jwt-go `jwt.StandardClaims`結構體.因為他的payload包含的使用者資訊太少. type userStdClaims struct { jwt.StandardClaims *User } //實現 `type Claims interface` 的 `Valid() error` 方法,自定義校驗內容 func (c userStdClaims) Valid() (err error) { if c.VerifyExpiresAt(time.Now().Unix(),true) == false { return errors.New("token is expired") } if !c.VerifyIssuer(AppIss,true) { return errors.New("token's issuer is wrong") } if c.User.Id < 1 { return errors.New("invalid user in jwt") } return } func jwtGenerateToken(m *User,error) { m.Password = "" expireTime := time.Now().Add(d) stdClaims := jwt.StandardClaims{ ExpiresAt: expireTime.Unix(),IssuedAt: time.Now().Unix(),Id: fmt.Sprintf("%d",m.Id),Issuer: AppIss,} uClaims := userStdClaims{ StandardClaims: stdClaims,User: m,} token := jwt.NewWithClaims(jwt.SigningMethodHS256,uClaims) // Sign and get the complete encoded token as a string using the secret tokenString,err := token.SignedString([]byte(AppSecret)) if err != nil { logrus.WithError(err).Fatal("config is wrong,can not generate jwt") } return tokenString,err } //JwtParseUser 解析payload的內容,得到使用者資訊 //gin-middleware 會使用這個方法 func JwtParseUser(tokenString string) (*User,error) { if tokenString == "" { return nil,errors.New("no token is found in Authorization Bearer") } claims := userStdClaims{} _,err := jwt.ParseWithClaims(tokenString,&claims,func(token *jwt.Token) (interface{},error) { if _,ok := token.Method.(*jwt.SigningMethodHMAC); !ok { return nil,fmt.Errorf("unexpected signing method: %v",token.Header["alg"]) } return []byte(AppSecret),nil }) if err != nil { return nil,err } return claims.User,err }
4.2 JWT中介軟體(middleware)
1.從url-query的_t
獲取JWT-string或者從請求頭 Authorization中獲取JWT-string
2.model.JwtParseUser(token)
解析JWT-string獲取User結構體(減少中介軟體查詢資料庫的操作和時間)
3.設定使用者資訊到gin.Context
其他的handler通過gin.Context.Get(contextKeyUserObj),在進行使用者Type Assert得到model.User 結構體.
4.使用了jwt-middle之後的handle從gin.Context中獲取使用者資訊
https://github.com/libragen/felix/blob/master/ssh2ws/internal/mw_jwt.go
package internal import ( "net/http" "strings" "github.com/libragen/felix/model" "github.com/gin-gonic/gin" ) const contextKeyUserObj = "authedUserObj" const bearerLength = len("Bearer ") func ctxTokenToUser(c *gin.Context,roleId uint) { token,ok := c.GetQuery("_t") if !ok { hToken := c.GetHeader("Authorization") if len(hToken) < bearerLength { c.AbortWithStatusJSON(http.StatusPreconditionFailed,gin.H{"msg": "header Authorization has not Bearer token"}) return } token = strings.TrimSpace(hToken[bearerLength:]) } usr,err := model.JwtParseUser(token) if err != nil { c.AbortWithStatusJSON(http.StatusPreconditionFailed,gin.H{"msg": err.Error()}) return } if (usr.RoleId & roleId) != roleId { c.AbortWithStatusJSON(http.StatusPreconditionFailed,gin.H{"msg": "roleId 沒有許可權"}) return } //store the user Model in the context c.Set(contextKeyUserObj,*usr) c.Next() // after request } func MwUserAdmin(c *gin.Context) { ctxTokenToUser(c,2) } func MwUserComment(c *gin.Context) { ctxTokenToUser(c,8) }
使用了jwt-middle之後的handle從gin.Context中獲取使用者資訊,
https://github.com/libragen/felix/blob/master/ssh2ws/internal/helper.go
func mWuserId(c *gin.Context) (uint,error) { v,exist := c.Get(contextKeyUserObj) if !exist { return 0,errors.New(contextKeyUserObj + " not exist") } user,ok := v.(model.User) if ok { return user.Id,nil } return 0,errors.New("can't convert to user struct") }
4.2 使用JWT中介軟體
一下程式碼有兩個JWT中介軟體的用法
internal.MwUserAdmin
管理後臺使用者中介軟體internal.MwUserCommenter
評論使用者中介軟體
https://github.com/libragen/felix/blob/master/ssh2ws/ssh2ws.go
package ssh2ws import ( "time" "github.com/libragen/felix/felixbin" "github.com/libragen/felix/model" "github.com/libragen/felix/ssh2ws/internal" "github.com/libragen/felix/wslog" "github.com/gin-contrib/cors" "github.com/gin-gonic/gin" ) func RunSsh2ws(bindAddress,user,password,secret string,expire time.Duration,verbose bool) error { err := model.CreateGodUser(user,password) if err != nil { return err } //config jwt variables model.AppSecret = secret model.ExpireTime = expire model.AppIss = "felix.mojotv.cn" if !verbose { gin.SetMode(gin.ReleaseMode) } r := gin.New() r.MaxMultipartMemory = 32 << 20 //sever static file in http's root path binStaticMiddleware,err := felixbin.NewGinStaticBinMiddleware("/") if err != nil { return err } mwCORS := cors.New(cors.Config{ AllowOrigins: []string{"*"},internal.LoginAdmin) //管理後臺登陸 api.GET("meta",internal.Meta) //terminal log hub := wslog.NewHub() go hub.Run() { //websocket r.GET("ws/hook",internal.MwUserAdmin,internal.Wslog(hub)) r.GET("ws/ssh/:id",internal.WsSsh) } //給外部呼叫 { api.POST("wslog/hook-api",internal.JwtMiddlewareWslog,internal.WsLogHookApi(hub)) api.GET("wslog/hook",internal.WslogHookAll) api.POST("wslog/hook",internal.WslogHookCreate) api.PATCH("wslog/hook",internal.WslogHookUpdate) api.DELETE("wslog/hook/:id",internal.WslogHookDelete) api.GET("wslog/msg",internal.WslogMsgAll) api.POST("wslog/msg-rm",internal.WslogMsgDelete) } //評論 { api.GET("comment",internal.CommentAll) api.GET("comment/:id/:action",internal.MwUserComment,internal.CommentAction) api.POST("comment",internal.CommentCreate) api.DELETE("comment/:id",internal.CommentDelete) } { api.GET("hacknews",internal.HackNewAll) api.PATCH("hacknews",internal.HackNewUpdate) api.POST("hacknews-rm",internal.HackNewRm) } authG := api.Use(internal.MwUserAdmin) { //create wslog hook authG.GET("ssh",internal.SshAll) authG.POST("ssh",internal.SshCreate) authG.GET("ssh/:id",internal.SshOne) authG.PATCH("ssh",internal.SshUpdate) authG.DELETE("ssh/:id",internal.SshDelete) authG.GET("sftp/:id",internal.SftpLs) authG.GET("sftp/:id/dl",internal.SftpDl) authG.GET("sftp/:id/cat",internal.SftpCat) authG.GET("sftp/:id/rm",internal.SftpRm) authG.GET("sftp/:id/rename",internal.SftpRename) authG.GET("sftp/:id/mkdir",internal.SftpMkdir) authG.POST("sftp/:id/up",internal.SftpUp) authG.POST("ginbro/gen",internal.GinbroGen) authG.POST("ginbro/db",internal.GinbroDb) authG.GET("ginbro/dl",internal.GinbroDownload) authG.GET("ssh-log",internal.SshLogAll) authG.DELETE("ssh-log/:id",internal.SshLogDelete) authG.PATCH("ssh-log",internal.SshLogUpdate) authG.GET("user",internal.UserAll) authG.POST("user",internal.RegisterCommenter) //api.GET("user/:id",internal.SshAll) authG.DELETE("user/:id",internal.UserDelete) authG.PATCH("user",internal.UserUpdate) } if err := r.Run(bindAddress); err != nil { return err } return nil }
5. Cookie-Session VS JWT
JWT和session有所不同,session需要在伺服器端生成,伺服器儲存session,只返回給客戶端sessionid,客戶端下次請求時帶上sessionid即可,因為session是儲存在伺服器中,有多臺伺服器時會出現一些麻煩,需要同步多臺主機的資訊,不然會出現在請求A伺服器時能獲取資訊,但是請求B伺服器身份資訊無法通過,JWT能很好的解決這個問題,伺服器端不用儲存jwt,只需要儲存加密用的secret,在使用者登入時將jwt加密生成併發送給客戶端,由客戶端儲存,以後客戶端的請求帶上,由伺服器解析jwt並驗證,這樣伺服器不用浪費空間去儲存登入資訊,不用浪費時間去做同步,
5.1 什麼是cookie
基於cookie的身份驗證是有狀態的,這意味著驗證的記錄或者會話(session)必須同時儲存在伺服器端和客戶端,伺服器端需要跟蹤記錄session並存至資料庫,
同時前端需要在cookie中儲存一個sessionID,作為session的唯一識別符號,可看做是session的“身份證”,
cookie,簡而言之就是在客戶端(瀏覽器等)儲存一些使用者操作的歷史資訊(當然包括登入資訊),並在使用者再次訪問該站點時瀏覽器通過HTTP協議將本地cookie內容傳送給伺服器,從而完成驗證,或繼續上一步操作,
5.2 什麼是session
session,會話,簡而言之就是在伺服器上儲存使用者操作的歷史資訊,在使用者登入後,伺服器儲存使用者會話的相關資訊,併為客戶端指定一個訪問憑證,如果有客戶端憑此憑證發出請求,則在服務端儲存的資訊中,取出使用者相關登入資訊,
並且使用服務端返回的憑證常儲存於Cookie中,也可以改寫URL,將id放在url中,這個訪問憑證一般來說就是SessionID,
5.3 cookie-session身份驗證機制的流程
session和cookie的目的相同,都是為了克服http協議無狀態的缺陷,但完成的方法不同,
session可以通過cookie來完成,在客戶端儲存session id,而將使用者的其他會話訊息儲存在服務端的session物件中,與此相對的,cookie需要將所有資訊都儲存在客戶端,
因此cookie存在著一定的安全隱患,例如本地cookie中儲存的使用者名稱密碼被破譯,或cookie被其他網站收集(例如:1. appA主動設定域B cookie,讓域B cookie獲取;2. XSS,在appA上通過javascript獲取document.cookie,並傳遞給自己的appB),
- 使用者輸入登入資訊
- 伺服器驗證登入資訊是否正確,如果正確就建立一個session,並把session存入資料庫
- 伺服器端會向客戶端返回帶有sessionID的cookie
- 在接下來的請求中,伺服器將把sessionID與資料庫中的相匹配,如果有效則處理該請求
- 如果使用者登出app,session會在客戶端和伺服器端都被銷燬
5.4 Cookie-session 和 JWT 使用場景
後端渲染HTML頁面建議使用Cookie-session認證
後按渲染頁面可以很方便的寫入/清除cookie到瀏覽器,許可權控制非常方便.很少需要要考慮跨域AJAX認證的問題.
App,web單頁面應用,APIs建議使用JWT認證
App、web APIs等的興起,基於token的身份驗證開始流行,
當我們談到利用token進行認證,我們一般說的就是利用JSON Web Tokens(JWTs)進行認證,雖然有不同的方式來實現token,
事實上,JWTs 已成為標準,因此在本文中將互換token與JWTs,
以上就是這篇文章的全部內容了,希望本文的內容對大家的學習或者工作能帶來一定的幫助,如果有疑問大家可以留言交流, 謝謝大家對mojotv.cn的支援.喜歡這個網站麻煩幫忙新增到收藏夾,新增我的微信好友: felixarebest 微博賬號: MojoTech 向我提問.
原文地址:Go進階24:Go-jwt RESTful身份認證教程
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支援我們。