JWT由Header、Payload、Signature组成,通过SigningMethodHS256生成签名,使用密钥创建Token并返回;2. 客户端在Authorization头携带Bearer Token,中间件解析并验证签名有效性;3. 验证通过后从中提取用户信息存入上下文,供后续处理使用;4. 路由通过authMiddleware保护接口,确保只有合法Token可访问受保护资源。
在Web开发中,身份验证是保障系统安全的重要环节。Golang结合JWT(JSON Web Token)是一种常见且高效的实现方式。JWT具备无状态、可扩展、跨域支持等优点,非常适合分布式系统中的用户认证。
JWT基本原理
JWT由三部分组成:Header、Payload 和 Signature。它们用点(.)连接成一个字符串,格式为 xxx.yyy.zzz。
服务器在用户登录成功后生成JWT,客户端后续请求携带该Token,服务器通过验证签名确认其有效性,无需查库或维护会话状态。
安装必要的包
使用 golang-jwt/jwt 包来处理Token的生成与解析:
立即学习“go语言免费学习笔记(深入)”;
go get github.com/golang-jwt/jwt/v5
生成JWT Token
在用户登录验证通过后,创建并返回Token。
示例代码:
func generateToken(userID string) (string, error) {
claims := jwt.MapClaims{
"user_id": userID,
"exp": time.Now().Add(time.Hour * 72).Unix(), // 72小时过期
}
token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
return token.SignedString([]byte("your-secret-key"))
}
注意:密钥(如 "your-secret-key")应通过环境变量管理,避免硬编码。
验证JWT中间件
编写中间件拦截请求,检查Token有效性。
示例中间件:
func authMiddleware(next http.HandlerFunc) http.HandlerFunc {
return func(w http.ResponseWriter, r *http.Request) {
tokenString := r.Header.Get("Authorization")
if tokenString == "" {
http.Error(w, "Authorization header missing", http.StatusUnauthorized)
return
}
// 去除 "Bearer " 前缀
tokenString = strings.TrimPrefix(tokenString, "Bearer ")
token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
return nil, fmt.Errorf("unexpected signing method")
}
return []byte("your-secret-key"), nil
})
if err != nil || !token.Valid {
http.Error(w, "Invalid or expired token", http.StatusUnauthorized)
return
}
// 提取用户信息,可存入上下文
if claims, ok := token.Claims.(jwt.MapClaims); ok {
userID := claims["user_id"].(string)
ctx := context.WithValue(r.Context(), "userID", userID)
next.ServeHTTP(w, r.WithContext(ctx))
return
}
http.Error(w, "Token claims invalid", http.StatusUnauthorized)
}
}
在路由中使用
将中间件应用到需要保护的接口:
http.HandleFunc("/login", loginHandler)
http.HandleFunc("/protected", authMiddleware(protectedHandler))
登录接口调用 generateToken 返回Token,受保护接口则自动验证Token。
基本上就这些。核心是生成Token、验证签名、提取信息。只要密钥安全、过期时间合理,JWT就能为Golang Web服务提供可靠的身份验证机制。
