Golang 中的 JWT 令牌：安全 API 开发人员指南

引言

在现代Web开发中，安全且可扩展的认证至关重要。JSON Web Tokens (JWT) 已成为实现这一目标的标准方法。在本博文中，我们将探讨JWT是什么，它是如何工作的，以及如何在Golang中实现它。

什么是JWT？

JSON Web Token (JWT) 是一种紧凑的、URL安全的表示声明的方式，用于在双方之间安全地传输声明。它通常用于在API和分布式系统中对用户进行身份验证和授权。

JWT的结构

JWT由三个用点 (.) 分隔的部分组成：

<code>Header.Payload.Signature</code>

示例：

<code>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWUsImlhdCI6MTUxNjIzOTAyMn0.reGQzG3OKdoIMWLDKOZ4TICJit3EW69cQE72E2CfzRE</code>

每个部分是：

1. Header (头部): 指定令牌类型 (JWT) 和签名算法 (HS256)。

<code>{
  "alg": "HS256",
  "typ": "JWT"
}</code>

2. Payload (有效载荷): 包含声明（用户数据，例如ID、角色或名称）。

<code>{
    "sub": "1234567890",
    "name": "John Doe",
    "admin": true,
    "iat": 1516239022
}</code>

3. Signature (签名): 使用加密签名过程来确保令牌的完整性。让我们详细探讨这一点。

签名的创建方式：

• 连接编码的Header和Payload：

<code>  base64UrlEncode(header) + "." + base64UrlEncode(payload)</code>

• 对结果进行签名：
  • 使用秘密密钥或私钥使用加密签名算法（例如，HMACSHA256、RS256）。
• 附加签名： 最终的JWT变为

<code>  header.payload.signature</code>

JWT的工作原理

1. 客户端将登录凭据发送到服务器。
2. 如果有效，服务器将生成JWT并将其返回给客户端。
3. 客户端存储JWT（例如，在localStorage或cookie中）。
4. 对于每个请求，客户端都在Authorization标头中包含JWT：Authorization: Bearer
5. 服务器在每次请求时验证JWT。
   • 使用接收到的Header和Payload重新计算签名。
   • 将重新计算的签名与接收到的签名进行比较。

在Golang中实现JWT

Golang开发人员可以利用优秀的golang-jwt/jwt库来处理JWT。此库提供了创建、签名和验证JWT的强大功能。您可以在此处找到它。

但是，管理JWT通常需要重复的任务，例如配置签名方法、解析令牌和验证声明。为了简化这一点，我编写了一个自定义包来包装golang-jwt的功能。您可以在此处查看我的包。

以下是如何使用我的自定义JWT包的示例。

package main

import (
    "context"
    "fmt"
    "log"
    "time"

    "github.com/golang-jwt/jwt/v5"
    jwtutil "github.com/kittipat1413/go-common/util/jwt"
)

type MyCustomClaims struct {
    jwt.RegisteredClaims
    UserID string `json:"uid"`
}

func main() {
    ctx := context.Background()
    signingKey := []byte("super-secret-key")
    manager, err := jwtutil.NewJWTManager(jwtutil.HS256, signingKey)
    if err != nil {
        log.Fatalf("Failed to create JWTManager: %v", err)
    }

    // Prepare custom claims
    claims := &MyCustomClaims{
        RegisteredClaims: jwt.RegisteredClaims{
            ExpiresAt: jwt.NewNumericDate(time.Now().Add(15 * time.Minute)),
            Issuer:    "example-HS256",
            Subject:   "example-subject",
        },
        UserID: "abc123",
    }

    // Create the token
    tokenStringHS256, err := manager.CreateToken(ctx, claims)
    if err != nil {
        log.Fatalf("Failed to create token: %v", err)
    }
    fmt.Println("Generated Token:", tokenStringHS256)

    // Validate the token
    parsedClaims := &MyCustomClaims{}
    err = manager.ParseAndValidateToken(ctx, tokenStringHS256, parsedClaims)
    if err != nil {
        log.Fatalf("Failed to validate token: %v", err)
    }

    fmt.Printf("Token is valid! UserID: %s, Issuer: %s\n", parsedClaims.UserID, parsedClaims.Issuer)
}

您可以在GitHub上浏览我的包的完整实现和文档：此处。

JWT最佳实践

1. 使用HTTPS： 始终通过安全通道传输令牌。
2. 设置过期时间： 包含合理的exp以限制令牌滥用。
3. 保护密钥： 使用环境变量或密钥管理器安全地存储密钥。
4. 避免在有效载荷中使用敏感数据： 只包含非关键信息。
5. 使用刷新令牌： 将JWT与刷新令牌配对以安全地延长会话。

结论 ?

JWT是用于安全、无状态身份验证的强大工具。签名确保了令牌的完整性和真实性，使JWT成为API和分布式系统的理想选择。使用像jwt-go这样的库，您可以轻松地在Golang项目中实现JWT。

☕ 支持我的工作 ☕

如果您喜欢我的工作，请考虑请我喝杯咖啡！您的支持帮助我继续创作有价值的内容并分享知识。☕

以上是Golang 中的 JWT 令牌：安全 API 开发人员指南的详细内容。更多信息请关注PHP中文网其他相关文章！