Golang使用JWT实现Web身份验证-Golang-PHP中文网

Golang使用JWT实现Web身份验证

P粉602998670

发布： 2025-09-09 08:35:01

原创

527人浏览过

JWT由Header、Payload、Signature组成，通过SigningMethodHS256生成签名，使用密钥创建Token并返回；2. 客户端在Authorization头携带Bearer Token，中间件解析并验证签名有效性；3. 验证通过后从中提取用户信息存入上下文，供后续处理使用；4. 路由通过authMiddleware保护接口，确保只有合法Token可访问受保护资源。

golang使用jwt实现web身份验证

在Web开发中，身份验证是保障系统安全的重要环节。Golang结合JWT（JSON Web Token）是一种常见且高效的实现方式。JWT具备无状态、可扩展、跨域支持等优点，非常适合分布式系统中的用户认证。

JWT基本原理

JWT由三部分组成：Header、Payload 和 Signature。它们用点（.）连接成一个字符串，格式为 xxx.yyy.zzz。

服务器在用户登录成功后生成JWT，客户端后续请求携带该Token，服务器通过验证签名确认其有效性，无需查库或维护会话状态。

安装必要的包

使用 golang-jwt/jwt 包来处理Token的生成与解析：

立即学习“go语言免费学习笔记（深入）”；

go get github.com/golang-jwt/jwt/v5

登录后复制

生成JWT Token

在用户登录验证通过后，创建并返回Token。

示例代码：

func generateToken(userID string) (string, error) {
    claims := jwt.MapClaims{
        "user_id": userID,
        "exp":     time.Now().Add(time.Hour * 72).Unix(), // 72小时过期
    }
<pre class='brush:php;toolbar:false;'>token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
return token.SignedString([]byte("your-secret-key"))

登录后复制

}

Blackink AI纹身生成

创建类似纹身的设计，生成独特纹身

查看详情

注意：密钥（如 "your-secret-key"）应通过环境变量管理，避免硬编码。

验证JWT中间件

编写中间件拦截请求，检查Token有效性。

示例中间件：

func authMiddleware(next http.HandlerFunc) http.HandlerFunc {
    return func(w http.ResponseWriter, r *http.Request) {
        tokenString := r.Header.Get("Authorization")
        if tokenString == "" {
            http.Error(w, "Authorization header missing", http.StatusUnauthorized)
            return
        }
<pre class='brush:php;toolbar:false;'>    // 去除 "Bearer " 前缀
    tokenString = strings.TrimPrefix(tokenString, "Bearer ")

    token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
        if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
            return nil, fmt.Errorf("unexpected signing method")
        }
        return []byte("your-secret-key"), nil
    })

    if err != nil || !token.Valid {
        http.Error(w, "Invalid or expired token", http.StatusUnauthorized)
        return
    }

    // 提取用户信息，可存入上下文
    if claims, ok := token.Claims.(jwt.MapClaims); ok {
        userID := claims["user_id"].(string)
        ctx := context.WithValue(r.Context(), "userID", userID)
        next.ServeHTTP(w, r.WithContext(ctx))
        return
    }

    http.Error(w, "Token claims invalid", http.StatusUnauthorized)
}

登录后复制

}

在路由中使用

将中间件应用到需要保护的接口：

http.HandleFunc("/login", loginHandler)
http.HandleFunc("/protected", authMiddleware(protectedHandler))

登录后复制

登录接口调用 generateToken 返回Token，受保护接口则自动验证Token。

基本上就这些。核心是生成Token、验证签名、提取信息。只要密钥安全、过期时间合理，JWT就能为Golang Web服务提供可靠的身份验证机制。

以上就是Golang使用JWT实现Web身份验证的详细内容，更多请关注php中文网其它相关文章！

大家都在看：

怎样减少Debian JS加载时间 Debian JS日志中安全问题如何防范 Debian JS日志如何优化性能如何用PHP、JS、Python或Go语言在PDF文档中精确添加图片并实现“章在上面，字在下面”的效果？ SonarQube代码扫描效果差？如何有效保障Golang和JS/TS项目的代码质量？