JWT(JSON Web 令牌)是一種透過基於令牌的身份驗證保護 API 的高效方法,確保只有經過身份驗證的使用者才能存取您的 API 端點。與傳統的基於會話的方法不同,JWT 是無狀態的,無需伺服器端會話存儲,這使其成為可擴展和高效能應用程式的理想選擇。在本指南中,我們將引導您在Go API 中實現JWT 身份驗證,從在使用者登入時產生令牌到透過驗證這些令牌來保護您的端點,最終增強應用程式資料和資源的安全性和穩健性。
此 .env 檔案包含一個環境變數 jwt_secret,它保存用於在應用程式中簽署和驗證 JWT 令牌的金鑰。
authenticate.go 中間件使用 Gin 框架在 Go API 中定義了用於 JWT 驗證的函數。它檢查請求是否針對 / 或 /login 路徑,在這種情況下不需要身份驗證。對於其他路由,它會檢索授權標頭,並期望獲得承載令牌。使用 jwt 套件和環境變數中的金鑰來解析和驗證令牌。如果令牌無效或遺失,請求將中止並顯示 401 未經授權狀態。如果有效,則會提取使用者聲明(例如 id 和名稱)並將其新增至 Gin 上下文中,從而允許存取受保護的路由。
main.go 檔案使用 Gin 框架設定 Go Web 伺服器來處理基於 JWT 驗證的路由。它使用中間件進行身份驗證,檢查請求中的有效 JWT 令牌。伺服器提供兩個 HTML 頁面:index.html 和 login.html,可透過 / 和 /login 路由存取。
對於 /user 路由,伺服器從 JWT 聲明中檢索經過身份驗證的用戶名,並在回應中傳回它。對於 /login POST 路由,伺服器驗證使用者憑證(名稱和密碼),如果有效,則產生 JWT 令牌,使用金鑰對其進行簽署並將其發送回客戶端。伺服器配置為偵聽請求並在預設連接埠上執行。
開啟網頁瀏覽器並前往http://localhost:8080
你會發現這個測試頁。
幾秒鐘後,您將被重新導向到登入頁面。
點擊登入按鈕,您將登入主頁,主頁上會顯示登入使用者的名字。
嘗試刷新瀏覽器,您會看到您仍然處於登入狀態。然後,按下登出按鈕,JWT 令牌將被刪除,您將再次重定向到登入頁面。
總之,在 Go API 中實作 JWT 驗證提供了一種安全且可擴展的方法來處理使用者驗證。透過使用 Gin 框架以及 golang-jwt/jwt 包,我們可以輕鬆地將基於令牌的身份驗證整合到我們的應用程式中。 JWT 令牌是在登入期間產生的,用於安全地驗證使用者憑證並授予對受保護路由的存取權限。中間件透過驗證令牌的有效性來確保只有經過身份驗證的使用者才能存取這些路由。這種無狀態身份驗證機制提供了增強的效能和靈活性,使其成為現代 API 架構的理想選擇。
原始碼:https://github.com/stackpuz/Example-JWT-Go
在幾分鐘內建立一個 CRUD Web 應用程式:https://stackpuz.com
以上是在 Go API 中實作 JWT 身份驗證的詳細內容。更多資訊請關注PHP中文網其他相關文章!
