GO 驗證存取權令牌（keycloak）

在現代的網路應用中，安全性是至關重要的。為了保護使用者資料和系統資源，存取權杖的驗證是必不可少的一環。而Keycloak作為強大的身份認證和存取管理解決方案，為開發者提供了一種簡單且安全的驗證方式。本文將由php小編西瓜為大家介紹如何使用Keycloak進行存取權杖的驗證，以確保應用的安全性。透過本文的指導，您將能夠輕鬆地實現存取權杖的驗證，並確保只有經過授權的使用者才能存取您的應用程式。

問題內容

我正在嘗試使用 GO 實現存取令牌驗證。但我在網路上看到的例子似乎只是用 TOKEN_SECRET 來驗證它。但是我習慣了在Java spring中編程，並且不需要使用TOKEN_SECRET。我只是提供 jwk-set-uri，它會檢查有效性（自動 - 安全過濾器等），我知道它與 oauth 伺服器通訊並進行此驗證。

Go 中是否沒有程式庫可以透過向 oauth 伺服器發出請求來檢查令牌是否有效？

我知道我知道我可以透過向 oauth 伺服器的使用者資訊端點發出請求來手動進行此操作：

http://localhost:8080/auth/realms/<your_realm>/protocol/openid-connect/userinfo

（在有金鑰授權的標頭中包含令牌）

但我不知道這是否完全符合標準。

正確的做法是什麼？

解決方法

簡短回答：使用 go-oidc

#長答案： 首先，讓我們了解 Spring Security 如何自動驗證 JWT 存取權杖。依照慣例，如果您在application.yaml 設定檔中定義OAuth 2.0 或OIDC 用戶端屬性，Spring 將自動在安全過濾器鏈中連接一個過濾器，從Keycloak 中取得jwk- set，Keycloak 是一組與金鑰對應的公鑰Keycloak 使用它來簽署令牌。該過濾器將應用於所有受保護的路由，並且 spring 將使用公鑰來檢查令牌的簽名是否有效，並在適用時進行其他檢查（受眾、超時等...）

那麼我們要如何在 Go 中做到這一點呢？我們可以寫一個簡單的中間件來接受 jwk-set 並使用它來驗證令牌。您需要檢查 alg 聲明以查看使用了哪種簽名演算法，從 jwk-set 中選擇相應的公鑰並檢查簽名是否有效。然後，解碼令牌，確認 iss 和 sub 聲明，以確保它來自受信任的頒發者並面向目標受眾，並檢查它是否尚未過期。檢查 nbf （不早於）和 iat （發佈於）宣告的時間是否正確。最後，如果下游需要，將令牌中的相關資訊注入到請求上下文中。

func JWTMiddleware(jwkSet map[string]*rsa.PublicKey) func(http.Handler) http.Handler {
    return func(next http.Handler) http.Handler {
        return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
            authHeader := r.Header.Get("Authorization")
            if authHeader == "" {
                http.Error(w, "Authorization header is required", http.StatusUnauthorized)
                return
            }

            tokenString := strings.TrimPrefix(authHeader, "Bearer ")
            token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
                if _, ok := token.Method.(*jwt.SigningMethodRSA); !ok {
                    return nil, fmt.Errorf("unexpected signing method: %v", token.Header["alg"])
                }

                alg := token.Method.Alg()
                publicKey, ok := jwkSet[alg]
                if !ok {
                    return nil, fmt.Errorf("no key found for signing method: %v", alg)
                }
                return publicKey, nil
            })
            
            if err != nil || !token.Valid {
                http.Error(w, "Invalid token", http.StatusUnauthorized)
                return
            }
            // Other checks, ISS, Aud, Expirey, etc ...
            // If needed, store the user principal 
            // and other relevant info the request context  
            next.ServeHTTP(w, r)
        })
    }
}

以上是GO 驗證存取權令牌（keycloak）的詳細內容。更多資訊請關注PHP中文網其他相關文章！