2. 程式人生 > >基於gin的golang web開發:認證利器jwt

基於gin的golang web開發:認證利器jwt

阿新 發佈:2020-12-02
JSON Web Token(JWT)是一種很流行的跨域認證解決方案,JWT基於JSON可以在進行驗證的同時附帶身份資訊,對於前後端分離專案很有幫助。 ``` eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c ``` JWT由三部分組成,每個部分之間用點```.```隔開,分別稱為HEADER、PAYLOAD和VERIFY SIGNATURE。HEADER和PAYLOAD經過base64解碼後為JSON明文。 1. HEADER包含兩個欄位,```alg```指明JWT的簽名演算法,```typ```固定為```JWT```。 2. PAYLOAD中包含JWT的宣告資訊,標準中定義了```iss```、```sub```、```aud```等宣告欄位,如果標準宣告不夠用的話,我們還可以增加自定義宣告。要注意兩點,第一PAYLOAD只是經過base64編碼,幾乎就等於是明文,不要包含敏感資訊。第二不要在PAYLOAD中放入過多的資訊,因為驗證通過以後每一個請求都要包含JWT,資訊太多的話會造成一些沒有必要的資源浪費。 3. VERIFY SIGNATURE為使用HEADER中指定的演算法生成的簽名。例如```alg:HS256```簽名演算法```HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),金鑰) ``` 瞭解完JWT的基本原理之後,我們來看一下在gin中是怎麼使用JWT的。 ### 引入gin-jwt中介軟體 在Gin中使用jwt有個開源專案```gin-jwt```,這專案幾乎包含了我們要用到的一切。例如定義PAYLOAD中的宣告、授權驗證的方法、是否使用COOKIE等等。下面來看一下官網給出的例子。 ```golang package main import ( "log" "net/http" "os" "time" jwt "github.com/appleboy/gin-jwt/v2" "github.com/gin-gonic/gin" ) type login struct { Username string `form:"username" json:"username" binding:"required"` Password string `form:"password" json:"password" binding:"required"` } var identityKey = "id" func helloHandler(c *gin.Context) { claims := jwt.ExtractClaims(c) user, _ := c.Get(identityKey) c.JSON(200, gin.H{ "userID": claims[identityKey], "userName": user.(*User).UserName, "text": "Hello World.", }) } type User struct { UserName string FirstName string LastName string } func main() { port := os.Getenv("PORT") r := gin.New() r.Use(gin.Logger()) r.Use(gin.Recovery()) if port == "" { port = "8000" } authMiddleware, err := jwt.New(&jwt.GinJWTMiddleware{ Realm: "test zone", Key: []byte("secret key"), Timeout: time.Hour, MaxRefresh: time.Hour, IdentityKey: identityKey, PayloadFunc: func(data interface{}) jwt.MapClaims { if v, ok := data.(*User); ok { return jwt.MapClaims{ identityKey: v.UserName, } } return jwt.MapClaims{} }, IdentityHandler: func(c *gin.Context) interface{} { claims := jwt.ExtractClaims(c) return &User{ UserName: claims[identityKey].(string), } }, Authenticator: func(c *gin.Context) (interface{}, error) { var loginVals login if err := c.ShouldBind(&loginVals); err != nil { return "", jwt.ErrMissingLoginValues } userID := loginVals.Username password := loginVals.Password if (userID == "admin" && password == "admin") || (userID == "test" && password == "test") { return &User{ UserName: userID, LastName: "Bo-Yi", FirstName: "Wu", }, nil } return nil, jwt.ErrFailedAuthentication }, Authorizator: func(data interface{}, c *gin.Context) bool { if v, ok := data.(*User); ok && v.UserName == "admin" { return true } return false }, Unauthorized: func(c *gin.Context, code int, message string) { c.JSON(code, gin.H{ "code": code, "message": message, }) }, TokenLookup: "header: Authorization, query: token, cookie: jwt", TokenHeadName: "Bearer", TimeFunc: time.Now, }) if err != nil { log.Fatal("JWT Error:" + err.Error()) } errInit := authMiddleware.MiddlewareInit() if errInit != nil { log.Fatal("authMiddleware.MiddlewareInit() Error:" + errInit.Error()) } r.POST("/login", authMiddleware.LoginHandler) r.NoRoute(authMiddleware.MiddlewareFunc(), func(c *gin.Context) { claims := jwt.ExtractClaims(c) log.Printf("NoRoute claims: %#v\n", claims) c.JSON(404, gin.H{"code": "PAGE_NOT_FOUND", "message": "Page not found"}) }) auth := r.Group("/auth") auth.GET("/refresh_token", authMiddleware.RefreshHandler) auth.Use(authMiddleware.MiddlewareFunc()) { auth.GET("/hello", helloHandler) } if err := http.ListenAndServe(":"+port, r); err != nil { log.Fatal(err) } } ``` 我們可以看到jwt.GinJWTMiddleware用於宣告一箇中間件。PayloadFunc方法中給預設的PAYLOAD增加了id欄位,取值為UserName。Authenticator認證器,我們可以在這裡驗證使用者身份,引數為*gin.Context,所以在這裡我們可以像寫Gin Handler那樣獲取到Http請求中的各種內容。Authorizator授權器可以判斷判斷當前JWT是否有許可權繼續訪問。當然還可以設定像過期時間,金鑰,是否設定COOKIE等其他選項。 ### 登入Handler 以上例子中配置了路由```r.POST("/login", authMiddleware.LoginHandler)```下面我們來看一下登入過程是怎樣的。 ```golang func (mw *GinJWTMiddleware) LoginHandler(c *gin.Context) { if mw.Authenticator == nil { mw.unauthorized(c, http.StatusInternalServerError, mw.HTTPStatusMessageFunc(ErrMissingAuthenticatorFunc, c)) return } data, err := mw.Authenticator(c) if err != nil { mw.unauthorized(c, http.StatusUnauthorized, mw.HTTPStatusMessageFunc(err, c)) return } // Create the token token := jwt.New(jwt.GetSigningMethod(mw.SigningAlgorithm)) claims := token.Claims.(jwt.MapClaims) if mw.PayloadFunc != nil { for key, value := range mw.PayloadFunc(data) { claims[key] = value } } expire := mw.TimeFunc().Add(mw.Timeout) claims["exp"] = expire.Unix() claims["orig_iat"] = mw.TimeFunc().Unix() tokenString, err := mw.signedString(token) if err != nil { mw.unauthorized(c, http.StatusUnauthorized, mw.HTTPStatusMessageFunc(ErrFailedTokenCreation, c)) return } // set cookie if mw.SendCookie { expireCookie := mw.TimeFunc().Add(mw.CookieMaxAge) maxage := int(expireCookie.Unix() - mw.TimeFunc().Unix()) if mw.CookieSameSite != 0 { c.SetSameSite(mw.CookieSameSite) } c.SetCookie( mw.CookieName, tokenString, maxage, "/", mw.CookieDomain, mw.SecureCookie, mw.CookieHTTPOnly, ) } mw.LoginResponse(c, http.StatusOK, tokenString, expire) } ``` LoginHandler整體邏輯還是比較簡單的,檢查並呼叫前面設定的Authenticator方法,驗證成功的話生成一個新的JWT,呼叫PayloadFunc方法設定PAYLOAD的自定義欄位,根據SendCookie判斷是否需要在HTTP中設定COOKIE,最後呼叫LoginResponse方法設定返回值。 ### 使用中介軟體 ```jwt-gin```包提供了一個標準的Gin中介軟體,我們可以在需要驗證JWT的路由上設定中介軟體。前面例子中對路由組```/auth```增加了JWT驗證```auth.Use(authMiddleware.MiddlewareFunc())```。 ```golang func (mw *GinJWTMiddleware) MiddlewareFunc() gin.HandlerFunc { return func(c *gin.Context) { mw.middlewareImpl(c) } } func (mw *GinJWTMiddleware) middlewareImpl(c *gin.Context) { claims, err := mw.GetClaimsFromJWT(c) if err != nil { mw.unauthorized(c, http.StatusUnauthorized, mw.HTTPStatusMessageFunc(err, c)) return } if claims["exp"] == nil { mw.unauthorized(c, http.StatusBadRequest, mw.HTTPStatusMessageFunc(ErrMissingExpField, c)) return } if _, ok := claims["exp"].(float64); !ok { mw.unauthorized(c, http.StatusBadRequest, mw.HTTPStatusMessageFunc(ErrWrongFormatOfExp, c)) return } if int64(claims["exp"].(float64)) < mw.TimeFunc().Unix() { mw.unauthorized(c, http.StatusUnauthorized, mw.HTTPStatusMessageFunc(ErrExpiredToken, c)) return } c.Set("JWT_PAYLOAD", claims) identity := mw.IdentityHandler(c) if identity != nil { c.Set(mw.IdentityKey, identity) } if !mw.Authorizator(identity, c) { mw.unauthorized(c, http.StatusForbidden, mw.HTTPStatusMessageFunc(ErrForbidden, c)) return } c.Next() } ``` GetClaimsFromJWT方法在當前上下文中獲取JWT,失敗的話返回未授權。接著會判斷JWT是否過期,最後前面設定的Authorizator方法驗證是否有許可權繼續訪問。 文章出處:[基於gin的golang web開發:認證利器jwt][source] [source]: https://www.huaface.com/article/24

相關推薦

基於gin的golang web開發認證利器jwt

JSON Web Token(JWT)是一種很流行的跨域認證解決方案,JWT基於JSON可以在進行驗證的同時附帶身份資訊,對於前後端分離專案很有幫助。 ``` eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6I

《Flask Web開發基於Python的Web應用開發實戰》pdf 免費下載

需求 png 入行 14. 導入 框架 錯誤 pla 引用 《Flask Web開發:基於Python的Web應用開發實戰》pdf 免費下載鏈接: https://u253469.ctfile.com/fs/253469-292665036 第一部分 Flask

《Flask Web開發基於Python的Web應用開發實戰》pdf 完整版免費下載

項目 工廠 技術分享 各類 視圖 第2章 靜態文件 閱讀 擁有 《Flask Web開發:基於Python的Web應用開發實戰》.pdf pdf 完整版免費下載: https://u253469.ctfile.com/fs/253469-292665036 更多電子書下

[分享]《Flask Web開發基於Python的Web應用開發實戰(第2版)》中文PDF+源代碼

全面介紹 flask 技術 ESS nfs 圖片 ges web應用開發 復制粘貼 下載:Flask Web開發第二版《Flask Web開發:基於Python的Web應用開發實戰》第二版中文PDF,324頁,帶目錄和書簽,文字能夠復制粘貼;配套源代碼;經典書籍第二版,講解

Flask Web開發基於Python的Web應用開發實戰PDF

Flask Web開發:基於Python的Web應用開發實戰PDF 百度網盤 連結:https://pan.baidu.com/s/1_Ax_ubMUOwwfoNPUn2mDeQ 提取碼:s39f 複製這段內容後開啟百度網盤手機App,操作更方便哦 內容簡介  · · 

《Flask Web開發基於Python的Web應用開發實戰》筆記(原創)

內容提要 在學習“狗書”《Flask Web開發:基於Python的Web應用開發實戰》的過程中,一直遇到各種各樣的坑。該書的第一部分是“Flask簡介”,主要介紹的一些基礎知識。第二部分是“例項:社交部落格程式”,講的是如何搭建一個社交部落格的框架。目前我學到

Flask之旅《Flask Web開發基於Python的Web應用開發實戰》學習筆記

《Flask Web開發:基於Python的Web應用開發實戰》 點選上方的“目錄”快速到達哦! 雖然簡單的網站(Flask+Python+SAE)已經上線,但只是入門。開發大型網站,系統地學習一遍還是有必要的。 1 虛擬環境 2016-6-8 書上介紹了

《Flask Web開發基於Python的Web應用開發實戰》PDF下載

下載連結:   前言 ...............................................................................................................................

《Flask Web開發基於Python的Web應用開發實戰》筆記一

開發實戰 返回 2.3 激活 下載 index document main 特殊 一、安裝 簡介: 在大多數標準匯總,Flask都算是小型框架,甚至可以成為“微框架”。同時具備高擴展的能力,具有一個包含基本服務的強健核心,其他功能可通過擴展實現。 兩個主要依賴:路由、調

《Flask Web開發基於Python的Web應用開發實戰》筆記二、

客戶端 正則表達式驗證 結束 comm ash red 單選 接受 boolean 第三章、模板 ?視圖函數作用即生成請求的響應,如果把業務邏輯和表現邏輯混在一起會導致代碼難以理解和維護。吧表現邏輯轉移到模板中能夠提升程序的可維護性。?模板是一個響應文本的文件,其中包含用

基於gin的golang web開發路由

Gin是一個用Golang編寫的HTTP網路框架。它的特點是類似於Martini的API,效能更好。在golang web開發領域是一個非常熱門的web框架。 #### 啟動一個Gin web伺服器 使用下面的命令安裝Gin ``` go get -u github.com/gin-gonic/gin `

基於gin的golang web開發路由二

在[基於gin的golang web開發:路由][1]中我們介紹了Gin的路由和一些獲取連結中引數的方法,本文繼續介紹其他獲取引數的方法。 #### 檔案上傳 在web開發中檔案上傳是一個很常見的需求,下面我們來看一下基於Gin的檔案上傳。 ```golang func main() { router :

基於gin的golang web開發模型繫結

在前兩篇文章介紹路由的時候,我們瞭解到gin可用通過類似DefaultQuery或DefaultPostForm等方法獲取到前端提交過來的引數。引數不多的情況下也很好用,但是想想看,如果介面有很多個引數的時候再用這種方法就要呼叫很多次獲取引數的方法,本文將介紹一種新的接收引數的方法來解決這個問題:模型繫結。

基於gin的golang web開發模型驗證

Gin除了模型繫結還提供了模型驗證功能。你可以給欄位指定特定的規則標籤,如果一個欄位用binding:"required"標籤修飾,在繫結時該欄位的值為空,那麼將返回一個錯誤。開發web api的時候大部分引數都是需要驗證的,比如email引數要驗證是否是郵箱格式、phone引數要驗證是否是手機號格式等等,使

基於gin的golang web開發訪問mysql資料庫

web開發基本都離不開訪問資料庫,在Gin中使用mysql資料庫需要依賴mysql的驅動。直接使用驅動提供的API就要寫很多樣板程式碼。你可以找到很多擴充套件包這裡介紹的是jmoiron/sqlx。另外還有一個用來處理空值的包guregu/null。 ``` go get github.com/go-sql

基於gin的golang web開發使用資料庫事務

在前文介紹訪問資料庫時介紹了```github.com/jmoiron/sqlx```包,本文基於這個包使用資料庫事務。 ### defer 在使用資料庫事務之前,首先需要了解go語言的defer關鍵字。defer是go語言的延遲執行語句,defer後面的語句會被go進行延遲處理,在函式即將結束的時候,d

基於gin的golang web開發中介軟體

gin中介軟體(middleware)提供了類似於面向切面程式設計或路由攔截器的功能,可以在請求前和請求之後新增一些自定義邏輯。實際開發中有很多場景會用到中介軟體,例如:許可權驗證,快取,錯誤處理,日誌,事務等。 #### 使用中介軟體 gin的中介軟體分為三類:全域性中介軟體、路由中介軟體、分組路由中介

基於gin的golang web開發整合swagger

在前後端分離的專案維護一份完整且及時更新的api文件會極大的提高我們的工作效率,傳統專案中介面文件都是由後端開發手寫的,這種文件很難保證及時性,久而久之便失去了參考意義。swagger給我們提供了一種新的維護文件的方式,在gin中只需要編寫一些註釋即可生成一份可互動的介面文件。 ``` go get -u

基於gin的golang web開發永遠不要相信使用者的輸入

作為後端開發者我們要記住一句話:“永遠不要相信使用者的輸入”,這裡所說的使用者可能是人,也可能是另一個應用程式。“永遠不要相信使用者的輸入”是安全編碼的準則,也就是說,任何輸入的內容在驗證無害之前都是有害的。很多應用程式的安全漏洞都和使用者輸入有關,比如SQL注入漏洞。 我們可以通過引數驗證、sql語句過濾

基於gin的golang web開發docker

Golang天生適合執行在```docker```容器中,這得益於:```Golang```的靜態編譯,當在編譯的時候關閉```cgo```的時候,可以完全不依賴系統環境。 ### 一些基礎 測試容器時我們經常需要進入容器檢視執行情況,以下命令啟動一個centos容器並進入bash互動環境。 ``` doc