引言

在現(xiàn)代Web開發(fā)中，安全且可擴(kuò)展的認(rèn)證至關(guān)重要。JSON Web Tokens (JWT) 已成為實(shí)現(xiàn)這一目標(biāo)的標(biāo)準(zhǔn)方法。在本博文中，我們將探討JWT是什么，它是如何工作的，以及如何在Golang中實(shí)現(xiàn)它。

什么是JWT？

JSON Web Token (JWT) 是一種緊湊的、URL安全的表示聲明的方式，用于在雙方之間安全地傳輸聲明。它通常用于在API和分布式系統(tǒng)中對(duì)用戶進(jìn)行身份驗(yàn)證和授權(quán)。

JWT的結(jié)構(gòu)

JWT由三個(gè)用點(diǎn) (.) 分隔的部分組成：

<code>Header.Payload.Signature</code>

示例：

<code>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWUsImlhdCI6MTUxNjIzOTAyMn0.reGQzG3OKdoIMWLDKOZ4TICJit3EW69cQE72E2CfzRE</code>

每個(gè)部分是：

1. Header (頭部): 指定令牌類型 (JWT) 和簽名算法 (HS256)。

<code>{
  "alg": "HS256",
  "typ": "JWT"
}</code>

2. Payload (有效載荷): 包含聲明（用戶數(shù)據(jù)，例如ID、角色或名稱）。

<code>{
    "sub": "1234567890",
    "name": "John Doe",
    "admin": true,
    "iat": 1516239022
}</code>

3. Signature (簽名): 使用加密簽名過程來(lái)確保令牌的完整性。讓我們?cè)敿?xì)探討這一點(diǎn)。

簽名的創(chuàng)建方式：

• 連接編碼的Header和Payload：

<code>  base64UrlEncode(header) + "." + base64UrlEncode(payload)</code>

• 對(duì)結(jié)果進(jìn)行簽名：
  • 使用秘密密鑰或私鑰使用加密簽名算法（例如，HMACSHA256、RS256）。
• 附加簽名： 最終的JWT變?yōu)?/li>

<code>  header.payload.signature</code>

JWT的工作原理

1. 客戶端將登錄憑據(jù)發(fā)送到服務(wù)器。
2. 如果有效，服務(wù)器將生成JWT并將其返回給客戶端。
3. 客戶端存儲(chǔ)JWT（例如，在localStorage或cookie中）。
4. 對(duì)于每個(gè)請(qǐng)求，客戶端都在Authorization標(biāo)頭中包含JWT：Authorization: Bearer
5. 服務(wù)器在每次請(qǐng)求時(shí)驗(yàn)證JWT。
   • 使用接收到的Header和Payload重新計(jì)算簽名。
   • 將重新計(jì)算的簽名與接收到的簽名進(jìn)行比較。

在Golang中實(shí)現(xiàn)JWT

Golang開發(fā)人員可以利用優(yōu)秀的golang-jwt/jwt庫(kù)來(lái)處理JWT。此庫(kù)提供了創(chuàng)建、簽名和驗(yàn)證JWT的強(qiáng)大功能。您可以在此處找到它。

但是，管理JWT通常需要重復(fù)的任務(wù)，例如配置簽名方法、解析令牌和驗(yàn)證聲明。為了簡(jiǎn)化這一點(diǎn)，我編寫了一個(gè)自定義包來(lái)包裝golang-jwt的功能。您可以在此處查看我的包。

以下是如何使用我的自定義JWT包的示例。

package main

import (
    "context"
    "fmt"
    "log"
    "time"

    "github.com/golang-jwt/jwt/v5"
    jwtutil "github.com/kittipat1413/go-common/util/jwt"
)

type MyCustomClaims struct {
    jwt.RegisteredClaims
    UserID string `json:"uid"`
}

func main() {
    ctx := context.Background()
    signingKey := []byte("super-secret-key")
    manager, err := jwtutil.NewJWTManager(jwtutil.HS256, signingKey)
    if err != nil {
        log.Fatalf("Failed to create JWTManager: %v", err)
    }

    // Prepare custom claims
    claims := &MyCustomClaims{
        RegisteredClaims: jwt.RegisteredClaims{
            ExpiresAt: jwt.NewNumericDate(time.Now().Add(15 * time.Minute)),
            Issuer:    "example-HS256",
            Subject:   "example-subject",
        },
        UserID: "abc123",
    }

    // Create the token
    tokenStringHS256, err := manager.CreateToken(ctx, claims)
    if err != nil {
        log.Fatalf("Failed to create token: %v", err)
    }
    fmt.Println("Generated Token:", tokenStringHS256)

    // Validate the token
    parsedClaims := &MyCustomClaims{}
    err = manager.ParseAndValidateToken(ctx, tokenStringHS256, parsedClaims)
    if err != nil {
        log.Fatalf("Failed to validate token: %v", err)
    }

    fmt.Printf("Token is valid! UserID: %s, Issuer: %s\n", parsedClaims.UserID, parsedClaims.Issuer)
}

您可以在GitHub上瀏覽我的包的完整實(shí)現(xiàn)和文檔：此處。

JWT最佳實(shí)踐

1. 使用HTTPS： 始終通過安全通道傳輸令牌。
2. 設(shè)置過期時(shí)間： 包含合理的exp以限制令牌濫用。
3. 保護(hù)密鑰： 使用環(huán)境變量或密鑰管理器安全地存儲(chǔ)密鑰。
4. 避免在有效載荷中使用敏感數(shù)據(jù)： 只包含非關(guān)鍵信息。
5. 使用刷新令牌： 將JWT與刷新令牌配對(duì)以安全地延長(zhǎng)會(huì)話。

結(jié)論 ?

JWT是用于安全、無(wú)狀態(tài)身份驗(yàn)證的強(qiáng)大工具。簽名確保了令牌的完整性和真實(shí)性，使JWT成為API和分布式系統(tǒng)的理想選擇。使用像jwt-go這樣的庫(kù)，您可以輕松地在Golang項(xiàng)目中實(shí)現(xiàn)JWT。

? 支持我的工作 ?

如果您喜歡我的工作，請(qǐng)考慮請(qǐng)我喝杯咖啡！您的支持幫助我繼續(xù)創(chuàng)作有價(jià)值的內(nèi)容并分享知識(shí)。?

以上是Golang 中的 JWT 令牌：安全 API 開發(fā)人員指南的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！