JSON Web Token(JWT)是一種很流行的跨域認證解決方案�����,JWT基于JSON可以在進行驗證的同時附帶身份信息���,對于前后端分離項目很有幫助。
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
JWT由三部分組成�����,每個部分之間用點.隔開�����,分別稱為HEADER��、PAYLOAD和VERIFY SIGNATURE�。HEADER和PAYLOAD經(jīng)過base64解碼后為JSON明文。
- HEADER包含兩個字段��,
alg指明JWT的簽名算法�����,typ固定為JWT。
- PAYLOAD中包含JWT的聲明信息���,標準中定義了
iss����、sub�����、aud等聲明字段�����,如果標準聲明不夠用的話���,我們還可以增加自定義聲明���。要注意兩點,第一PAYLOAD只是經(jīng)過base64編碼���,幾乎就等于是明文�����,不要包含敏感信息���。第二不要在PAYLOAD中放入過多的信息,因為驗證通過以后每一個請求都要包含JWT���,信息太多的話會造成一些沒有必要的資源浪費��。
- VERIFY SIGNATURE為使用HEADER中指定的算法生成的簽名���。例如
alg:HS256簽名算法
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),密鑰)
了解完JWT的基本原理之后,我們來看一下在gin中是怎么使用JWT的����。
引入gin-jwt中間件
在Gin中使用jwt有個開源項目gin-jwt,這項目幾乎包含了我們要用到的一切����。例如定義PAYLOAD中的聲明、授權(quán)驗證的方法�、是否使用COOKIE等等。下面來看一下官網(wǎng)給出的例子��。
package main
import (
"log"
"net/http"
"os"
"time"
jwt "github.com/appleboy/gin-jwt/v2"
"github.com/gin-gonic/gin"
)
type login struct {
Username string `form:"username" json:"username" binding:"required"`
Password string `form:"password" json:"password" binding:"required"`
}
var identityKey = "id"
func helloHandler(c *gin.Context) {
claims := jwt.ExtractClaims(c)
user, _ := c.Get(identityKey)
c.JSON(200, gin.H{
"userID": claims[identityKey],
"userName": user.(*User).UserName,
"text": "Hello World.",
})
}
type User struct {
UserName string
FirstName string
LastName string
}
func main() {
port := os.Getenv("PORT")
r := gin.New()
r.Use(gin.Logger())
r.Use(gin.Recovery())
if port == "" {
port = "8000"
}
authMiddleware, err := jwt.New(jwt.GinJWTMiddleware{
Realm: "test zone",
Key: []byte("secret key"),
Timeout: time.Hour,
MaxRefresh: time.Hour,
IdentityKey: identityKey,
PayloadFunc: func(data interface{}) jwt.MapClaims {
if v, ok := data.(*User); ok {
return jwt.MapClaims{
identityKey: v.UserName,
}
}
return jwt.MapClaims{}
},
IdentityHandler: func(c *gin.Context) interface{} {
claims := jwt.ExtractClaims(c)
return User{
UserName: claims[identityKey].(string),
}
},
Authenticator: func(c *gin.Context) (interface{}, error) {
var loginVals login
if err := c.ShouldBind(loginVals); err != nil {
return "", jwt.ErrMissingLoginValues
}
userID := loginVals.Username
password := loginVals.Password
if (userID == "admin" password == "admin") || (userID == "test" password == "test") {
return User{
UserName: userID,
LastName: "Bo-Yi",
FirstName: "Wu",
}, nil
}
return nil, jwt.ErrFailedAuthentication
},
Authorizator: func(data interface{}, c *gin.Context) bool {
if v, ok := data.(*User); ok v.UserName == "admin" {
return true
}
return false
},
Unauthorized: func(c *gin.Context, code int, message string) {
c.JSON(code, gin.H{
"code": code,
"message": message,
})
},
TokenLookup: "header: Authorization, query: token, cookie: jwt",
TokenHeadName: "Bearer",
TimeFunc: time.Now,
})
if err != nil {
log.Fatal("JWT Error:" + err.Error())
}
errInit := authMiddleware.MiddlewareInit()
if errInit != nil {
log.Fatal("authMiddleware.MiddlewareInit() Error:" + errInit.Error())
}
r.POST("/login", authMiddleware.LoginHandler)
r.NoRoute(authMiddleware.MiddlewareFunc(), func(c *gin.Context) {
claims := jwt.ExtractClaims(c)
log.Printf("NoRoute claims: %#v\n", claims)
c.JSON(404, gin.H{"code": "PAGE_NOT_FOUND", "message": "Page not found"})
})
auth := r.Group("/auth")
auth.GET("/refresh_token", authMiddleware.RefreshHandler)
auth.Use(authMiddleware.MiddlewareFunc())
{
auth.GET("/hello", helloHandler)
}
if err := http.ListenAndServe(":"+port, r); err != nil {
log.Fatal(err)
}
}
我們可以看到jwt.GinJWTMiddleware用于聲明一個中間件。PayloadFunc方法中給默認的PAYLOAD增加了id字段����,取值為UserName。Authenticator認證器�����,我們可以在這里驗證用戶身份���,參數(shù)為*gin.Context���,所以在這里我們可以像寫Gin Handler那樣獲取到Http請求中的各種內(nèi)容。Authorizator授權(quán)器可以判斷判斷當前JWT是否有權(quán)限繼續(xù)訪問��。當然還可以設置像過期時間��,密鑰���,是否設置COOKIE等其他選項���。
登錄Handler
以上例子中配置了路由r.POST("/login", authMiddleware.LoginHandler)下面我們來看一下登錄過程是怎樣的。
func (mw *GinJWTMiddleware) LoginHandler(c *gin.Context) {
if mw.Authenticator == nil {
mw.unauthorized(c, http.StatusInternalServerError, mw.HTTPStatusMessageFunc(ErrMissingAuthenticatorFunc, c))
return
}
data, err := mw.Authenticator(c)
if err != nil {
mw.unauthorized(c, http.StatusUnauthorized, mw.HTTPStatusMessageFunc(err, c))
return
}
// Create the token
token := jwt.New(jwt.GetSigningMethod(mw.SigningAlgorithm))
claims := token.Claims.(jwt.MapClaims)
if mw.PayloadFunc != nil {
for key, value := range mw.PayloadFunc(data) {
claims[key] = value
}
}
expire := mw.TimeFunc().Add(mw.Timeout)
claims["exp"] = expire.Unix()
claims["orig_iat"] = mw.TimeFunc().Unix()
tokenString, err := mw.signedString(token)
if err != nil {
mw.unauthorized(c, http.StatusUnauthorized, mw.HTTPStatusMessageFunc(ErrFailedTokenCreation, c))
return
}
// set cookie
if mw.SendCookie {
expireCookie := mw.TimeFunc().Add(mw.CookieMaxAge)
maxage := int(expireCookie.Unix() - mw.TimeFunc().Unix())
if mw.CookieSameSite != 0 {
c.SetSameSite(mw.CookieSameSite)
}
c.SetCookie(
mw.CookieName,
tokenString,
maxage,
"/",
mw.CookieDomain,
mw.SecureCookie,
mw.CookieHTTPOnly,
)
}
mw.LoginResponse(c, http.StatusOK, tokenString, expire)
}
LoginHandler整體邏輯還是比較簡單的��,檢查并調(diào)用前面設置的Authenticator方法,驗證成功的話生成一個新的JWT���,調(diào)用PayloadFunc方法設置PAYLOAD的自定義字段���,根據(jù)SendCookie判斷是否需要在HTTP中設置COOKIE,最后調(diào)用LoginResponse方法設置返回值�。
使用中間件
jwt-gin包提供了一個標準的Gin中間件����,我們可以在需要驗證JWT的路由上設置中間件。前面例子中對路由組/auth增加了JWT驗證auth.Use(authMiddleware.MiddlewareFunc())��。
func (mw *GinJWTMiddleware) MiddlewareFunc() gin.HandlerFunc {
return func(c *gin.Context) {
mw.middlewareImpl(c)
}
}
func (mw *GinJWTMiddleware) middlewareImpl(c *gin.Context) {
claims, err := mw.GetClaimsFromJWT(c)
if err != nil {
mw.unauthorized(c, http.StatusUnauthorized, mw.HTTPStatusMessageFunc(err, c))
return
}
if claims["exp"] == nil {
mw.unauthorized(c, http.StatusBadRequest, mw.HTTPStatusMessageFunc(ErrMissingExpField, c))
return
}
if _, ok := claims["exp"].(float64); !ok {
mw.unauthorized(c, http.StatusBadRequest, mw.HTTPStatusMessageFunc(ErrWrongFormatOfExp, c))
return
}
if int64(claims["exp"].(float64)) mw.TimeFunc().Unix() {
mw.unauthorized(c, http.StatusUnauthorized, mw.HTTPStatusMessageFunc(ErrExpiredToken, c))
return
}
c.Set("JWT_PAYLOAD", claims)
identity := mw.IdentityHandler(c)
if identity != nil {
c.Set(mw.IdentityKey, identity)
}
if !mw.Authorizator(identity, c) {
mw.unauthorized(c, http.StatusForbidden, mw.HTTPStatusMessageFunc(ErrForbidden, c))
return
}
c.Next()
}
GetClaimsFromJWT方法在當前上下文中獲取JWT�,失敗的話返回未授權(quán)。接著會判斷JWT是否過期�����,最后前面設置的Authorizator方法驗證是否有權(quán)限繼續(xù)訪問�。
到此這篇關于基于gin的golang web開發(fā)之認證利器jwt的文章就介紹到這了,更多相關gin的golang web開發(fā)內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家!
您可能感興趣的文章:- Gin golang web開發(fā)模型綁定實現(xiàn)過程解析
- 基于gin的golang web開發(fā):路由示例詳解
- golang websocket 服務端的實現(xiàn)
- Golang實現(xiàn)web文件共享服務的示例代碼
- golang搭建靜態(tài)web服務器的實現(xiàn)方法
- golang基于websocket實現(xiàn)的簡易聊天室程序
