基於gin的golang web開發之認證利器jwt
JSON Web Token(JWT)是一種很流行的跨域認證解決方案,JWT基於JSON可以在進行驗證的同時附帶身份資訊,對於前後端分離專案很有幫助。
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
JWT由三部分組成,每個部分之間用點.
隔開,分別稱為HEADER、PAYLOAD和VERIFY SIGNATURE。HEADER和PAYLOAD經過base64解碼後為JSON明文。
- HEADER包含兩個欄位,
alg
指明JWT的簽名演算法,typ
固定為JWT
。 - PAYLOAD中包含JWT的宣告資訊,標準中定義了
iss
、sub
、aud
等宣告欄位,如果標準宣告不夠用的話,我們還可以增加自定義宣告。要注意兩點,第一PAYLOAD只是經過base64編碼,幾乎就等於是明文,不要包含敏感資訊。第二不要在PAYLOAD中放入過多的資訊,因為驗證通過以後每一個請求都要包含JWT,資訊太多的話會造成一些沒有必要的資源浪費。 - VERIFY SIGNATURE為使用HEADER中指定的演算法生成的簽名。例如
alg:HS256
簽名演算法
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),金鑰)
瞭解完JWT的基本原理之後,我們來看一下在gin中是怎麼使用JWT的。
引入gin-jwt中介軟體
在Gin中使用jwt有個開源專案gin-jwt
,這專案幾乎包含了我們要用到的一切。例如定義PAYLOAD中的宣告、授權驗證的方法、是否使用COOKIE等等。下面來看一下官網給出的例子。
package main import ( "log" "net/http" "os" "time" jwt "github.com/appleboy/gin-jwt/v2" "github.com/gin-gonic/gin" ) type login struct { Username string `form:"username" json:"username" binding:"required"` Password string `form:"password" json:"password" binding:"required"` } var identityKey = "id" func helloHandler(c *gin.Context) { claims := jwt.ExtractClaims(c) user,_ := c.Get(identityKey) c.JSON(200,gin.H{ "userID": claims[identityKey],"userName": user.(*User).UserName,"text": "Hello World.",}) } type User struct { UserName string FirstName string LastName string } func main() { port := os.Getenv("PORT") r := gin.New() r.Use(gin.Logger()) r.Use(gin.Recovery()) if port == "" { port = "8000" } authMiddleware,err := jwt.New(&jwt.GinJWTMiddleware{ Realm: "test zone",Key: []byte("secret key"),Timeout: time.Hour,MaxRefresh: time.Hour,IdentityKey: identityKey,PayloadFunc: func(data interface{}) jwt.MapClaims { if v,ok := data.(*User); ok { return jwt.MapClaims{ identityKey: v.UserName,} } return jwt.MapClaims{} },IdentityHandler: func(c *gin.Context) interface{} { claims := jwt.ExtractClaims(c) return &User{ UserName: claims[identityKey].(string),} },Authenticator: func(c *gin.Context) (interface{},error) { var loginVals login if err := c.ShouldBind(&loginVals); err != nil { return "",jwt.ErrMissingLoginValues } userID := loginVals.Username password := loginVals.Password if (userID == "admin" && password == "admin") || (userID == "test" && password == "test") { return &User{ UserName: userID,LastName: "Bo-Yi",FirstName: "Wu",},nil } return nil,jwt.ErrFailedAuthentication },Authorizator: func(data interface{},c *gin.Context) bool { if v,ok := data.(*User); ok && v.UserName == "admin" { return true } return false },Unauthorized: func(c *gin.Context,code int,message string) { c.JSON(code,gin.H{ "code": code,"message": message,}) },TokenLookup: "header: Authorization,query: token,cookie: jwt",TokenHeadName: "Bearer",TimeFunc: time.Now,}) if err != nil { log.Fatal("JWT Error:" + err.Error()) } errInit := authMiddleware.MiddlewareInit() if errInit != nil { log.Fatal("authMiddleware.MiddlewareInit() Error:" + errInit.Error()) } r.POST("/login",authMiddleware.LoginHandler) r.NoRoute(authMiddleware.MiddlewareFunc(),func(c *gin.Context) { claims := jwt.ExtractClaims(c) log.Printf("NoRoute claims: %#v\n",claims) c.JSON(404,gin.H{"code": "PAGE_NOT_FOUND","message": "Page not found"}) }) auth := r.Group("/auth") auth.GET("/refresh_token",authMiddleware.RefreshHandler) auth.Use(authMiddleware.MiddlewareFunc()) { auth.GET("/hello",helloHandler) } if err := http.ListenAndServe(":"+port,r); err != nil { log.Fatal(err) } }
我們可以看到jwt.GinJWTMiddleware用於宣告一箇中間件。PayloadFunc方法中給預設的PAYLOAD增加了id欄位,取值為UserName。Authenticator認證器,我們可以在這裡驗證使用者身份,引數為*gin.Context,所以在這裡我們可以像寫Gin Handler那樣獲取到Http請求中的各種內容。Authorizator授權器可以判斷判斷當前JWT是否有許可權繼續訪問。當然還可以設定像過期時間,金鑰,是否設定COOKIE等其他選項。
登入Handler
以上例子中配置了路由r.POST("/login",authMiddleware.LoginHandler)
下面我們來看一下登入過程是怎樣的。
func (mw *GinJWTMiddleware) LoginHandler(c *gin.Context) { if mw.Authenticator == nil { mw.unauthorized(c,http.StatusInternalServerError,mw.HTTPStatusMessageFunc(ErrMissingAuthenticatorFunc,c)) return } data,err := mw.Authenticator(c) if err != nil { mw.unauthorized(c,http.StatusUnauthorized,mw.HTTPStatusMessageFunc(err,c)) return } // Create the token token := jwt.New(jwt.GetSigningMethod(mw.SigningAlgorithm)) claims := token.Claims.(jwt.MapClaims) if mw.PayloadFunc != nil { for key,value := range mw.PayloadFunc(data) { claims[key] = value } } expire := mw.TimeFunc().Add(mw.Timeout) claims["exp"] = expire.Unix() claims["orig_iat"] = mw.TimeFunc().Unix() tokenString,err := mw.signedString(token) if err != nil { mw.unauthorized(c,mw.HTTPStatusMessageFunc(ErrFailedTokenCreation,c)) return } // set cookie if mw.SendCookie { expireCookie := mw.TimeFunc().Add(mw.CookieMaxAge) maxage := int(expireCookie.Unix() - mw.TimeFunc().Unix()) if mw.CookieSameSite != 0 { c.SetSameSite(mw.CookieSameSite) } c.SetCookie( mw.CookieName,tokenString,maxage,"/",mw.CookieDomain,mw.SecureCookie,mw.CookieHTTPOnly,) } mw.LoginResponse(c,http.StatusOK,expire) }
LoginHandler整體邏輯還是比較簡單的,檢查並呼叫前面設定的Authenticator方法,驗證成功的話生成一個新的JWT,呼叫PayloadFunc方法設定PAYLOAD的自定義欄位,根據SendCookie判斷是否需要在HTTP中設定COOKIE,最後呼叫LoginResponse方法設定返回值。
使用中介軟體
jwt-gin
包提供了一個標準的Gin中介軟體,我們可以在需要驗證JWT的路由上設定中介軟體。前面例子中對路由組/auth
增加了JWT驗證auth.Use(authMiddleware.MiddlewareFunc())
。
func (mw *GinJWTMiddleware) MiddlewareFunc() gin.HandlerFunc { return func(c *gin.Context) { mw.middlewareImpl(c) } } func (mw *GinJWTMiddleware) middlewareImpl(c *gin.Context) { claims,err := mw.GetClaimsFromJWT(c) if err != nil { mw.unauthorized(c,c)) return } if claims["exp"] == nil { mw.unauthorized(c,http.StatusBadRequest,mw.HTTPStatusMessageFunc(ErrMissingExpField,c)) return } if _,ok := claims["exp"].(float64); !ok { mw.unauthorized(c,mw.HTTPStatusMessageFunc(ErrWrongFormatOfExp,c)) return } if int64(claims["exp"].(float64)) < mw.TimeFunc().Unix() { mw.unauthorized(c,mw.HTTPStatusMessageFunc(ErrExpiredToken,c)) return } c.Set("JWT_PAYLOAD",claims) identity := mw.IdentityHandler(c) if identity != nil { c.Set(mw.IdentityKey,identity) } if !mw.Authorizator(identity,c) { mw.unauthorized(c,http.StatusForbidden,mw.HTTPStatusMessageFunc(ErrForbidden,c)) return } c.Next() }
GetClaimsFromJWT方法在當前上下文中獲取JWT,失敗的話返回未授權。接著會判斷JWT是否過期,最後前面設定的Authorizator方法驗證是否有許可權繼續訪問。
到此這篇關於基於gin的golang web開發之認證利器jwt的文章就介紹到這了,更多相關gin的golang web開發內容請搜尋我們以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援我們!