Go語言伺服器程式設計實踐：使用JWT保護API介面-Golang-PHP中文網

Go語言伺服器程式設計實踐：使用JWT保護API介面

WBOY

發布： 2023-06-18 16:55:28

原創

1098 人瀏覽過

在當今網路時代，隨著Web應用的普及，API（Application Programming Interface，應用程式介面）也越來越受到開發者們的關注和依賴。而保護API介面的安全性又是非常重要的一個問題。本文將以Go語言為例，介紹如何使用JWT（JSON Web Token）來保護API介面的安全性。

一、什麼是JWT

JWT全名為JSON Web Token，是一種開放的標準（RFC 7519），用於在各方之間傳遞安全的訊息。 JWT可以認證、授權和資訊交換。 JWT通常用於在Web應用程式或API中傳遞認證資訊。

在JWT中，由三個部分組成：頭部（header）、負荷（payload）和簽名（signature）。

頭（Header）

頭通常由兩個部分組成：令牌的類型（即JWT）和演算法名稱（例如 HMAC SHA256 或 RSA）。

{
"alg": "HS256",
"typ": "JWT"
}

載荷（Payload）

#載重包含一些可靠的、有用的信息，例如使用者ID或存取權限等。載荷可以新增自訂聲明（建議只使用已註冊的聲明名稱）。

{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}

#簽章（Signature）

為了驗證JWT是否真實有效，需要使用金鑰和頭部中指定的演算法對JWT進行簽章。

HMACSHA256(
base64UrlEncode(header) "."
base64UrlEncode(payload),
your-256-bit-secret
)

二、使用JWT保護API介面

安裝JWT依賴

首先需要安裝Go語言的JWT依賴套件：

go get github.com/dgrijalva/jwt- go

JWT產生和校驗

使用JWT保護API介面時，需要產生和校驗JWT。下面是一個簡單的產生和校驗JWT的範例程式碼：

產生JWT

func GenerateToken(userid string) (string, error) {

token := jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.MapClaims{
    "userid": userid,
    "exp":   time.Now().Add(time.Hour * 24 * 7).Unix(), //有效期一周
})
tokenString, err := token.SignedString([]byte("mysecretkey"))
if err != nil {
    return "", err
}
return tokenString, nil

登入後複製

}

校驗JWT

func ValidateToken(tokenString string) (bool, string) {

token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
    return []byte("mysecretkey"), nil
})
if err == nil && token.Valid {
    claims := token.Claims.(jwt.MapClaims)
    userid := claims["userid"].(string) //取出userid
    return true, userid
} else {
    return false, ""
}

登入後複製

}

在API介面中使用JWT驗證機制

在API介面中，需要先從HTTP請求中讀取JWT，並進行校驗。如果校驗通過，就允許存取API接口，否則返回403錯誤（無權限）。

下面是一個範例程式碼：

func myAPIHandler(w http.ResponseWriter, r *http.Request) {

tokenString := r.Header.Get("Authorization") //从HTTP请求中获取JWT
if tokenString == "" {
    w.WriteHeader(http.StatusForbidden)
    return
}
tokenString = strings.TrimPrefix(tokenString, "Bearer ")
ok, userid := ValidateToken(tokenString) //校验JWT
if !ok {
    w.WriteHeader(http.StatusForbidden)
    return
}
// 对于登录用户，可以从JWT中获取用户信息（例如userid），并进行权限控制
// ...
// 处理API请求
// ...

登入後複製

}

#三、總結

使用JWT可以有效保護API介面的安全性，確保只有授權使用者能夠存取API介面。在Go語言中，使用JWT也非常簡單，只需要安裝依賴套件和編寫對應程式碼。同時，為了保護API介面的安全性，也需要進行其他方面的安全措施，例如HTTPS加密、防火牆設定、日誌監控等。

以上是Go語言伺服器程式設計實踐：使用JWT保護API介面的詳細內容。更多資訊請關注PHP中文網其他相關文章！