GO 인증 액세스 토큰(keycloak)

최신 네트워크 애플리케이션에서는 보안이 매우 중요합니다. 사용자 데이터와 시스템 리소스를 보호하기 위해서는 액세스 토큰 확인이 필수 단계입니다. 강력한 신원 인증 및 액세스 관리 솔루션인 Keycloak은 개발자에게 간단하고 안전한 확인 방법을 제공합니다. 이 기사에서 PHP 편집자 Xigua는 Keycloak을 사용하여 애플리케이션 보안을 보장하기 위해 액세스 토큰을 확인하는 방법을 소개합니다. 이 문서의 지침에 따라 액세스 토큰 확인을 쉽게 구현하고 승인된 사용자만 애플리케이션에 액세스할 수 있도록 할 수 있습니다.

질문 내용

GO를 사용하여 액세스 토큰 확인을 구현하려고 합니다. 하지만 온라인에서 본 예에서는 TOKEN_SECRET을 사용하여 유효성을 검사하는 것 같습니다. 하지만 저는 Java Spring 프로그래밍에 익숙하므로 TOKEN_SECRET을 사용할 필요가 없습니다. jwk-set-uri를 제공하고 유효성(자동 - 보안 필터 등)을 확인하며 oauth 서버와 통신하여 이 유효성 검사를 수행한다는 것을 알고 있습니다.

oauth 서버에 요청하여 토큰이 유효한지 확인할 수 있는 라이브러리가 Go에 없나요?

oauth 서버의 userinfo 엔드포인트에 요청하여 이 작업을 수동으로 수행할 수 있다는 것을 알고 있습니다.

으아악

(키 인증이 있는 헤더에 토큰 포함)

하지만 이것이 완전히 표준에 맞는지는 모르겠습니다.

올바른 접근 방식은 무엇인가요?

해결 방법

짧은 답변: go-oidc을 사용하세요.

긴 답변: 먼저 Spring Security가 JWT 액세스 토큰을 자동으로 검증하는 방법을 이해해 보겠습니다. 관례적으로 application.yaml 配置文件中定义 OAuth 2.0 或 OIDC 客户端属性，Spring 将自动在安全过滤器链中连接一个过滤器，从 Keycloak 中获取 jwk-set에 있는 경우 Keycloak은 Keycloak이 토큰 서명에 사용하는 키에 해당하는 공개 키 집합입니다. 필터는 모든 보호된 경로에 적용되며 Spring은 공개 키를 사용하여 토큰의 서명이 유효한지 확인하고 해당하는 경우 다른 검사(대상, 시간 초과 등...)를 수행합니다.

그럼 Go에서는 어떻게 할까요? jwk-set 并使用它来验证令牌。您需要检查 alg 声明以查看使用了哪种签名算法，从 jwk-set 中选择相应的公钥并检查签名是否有效。然后，解码令牌，确认 iss 和 sub 声明，以确保它来自受信任的颁发者并面向目标受众，并检查它是否尚未过期。检查 nbf （不早于）和 iat(published on) 문의 시간이 올바른지 여부를 승인하는 간단한 미들웨어를 작성할 수 있습니다. 마지막으로, 필요한 경우 다운스트림에 토큰의 관련 정보가 요청 컨텍스트에 주입됩니다.

으아악

위 내용은 GO 인증 액세스 토큰(keycloak)의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!