Gin框架dgrijalva/jwt-go实例(JWT用户认证)
1.什么是JWT
JWT(JSON Web Token)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息, 一个JWT由三部分组成,
Header头部,Claims载荷,Signature签名
JWT原理类似我们加盖公章或手写签名的的过程,合同上写了很多条款, 不是随便一张纸随便写啥都可以的,必须要一些证明,比如签名, 比如盖章,JWT就是通过附加签名,保证传输过来的信息是真的,而不是伪造的,
它将用户信息加密到token里,服务器不保存任何用户信息,服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证,
2.JWT构成
一个JWT由三部分组成,
Header头部,Claims载荷,Signature签名
3.javascript提取JWT字符串荷载信息
JWT里面payload可以包含很多字段,字段越多您的token字符串就越长. 您的HTTP请求通讯的发送的数据就越多,回到之接口响应时间等待稍稍的变长一点点.
一下代码就是前端javascript从payload获取登录的用户信息. 当然后端middleware也可以直接解析payload获取用户信息,减少到数据库中查询user表数据.接口速度会更快,数据库压力更小. 后端检查JWT身份验证时候当然会校验payload和Signature签名是否合法.
let tokenString = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.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.tGjukvuE9JVjzDa42iGfh_5jIembO5YZBZDqLnaG6KQ'
function parseTokenGetUser(jwtTokenString) {
let base64Url = jwtTokenString.split('.')[1];
let base64 = base64Url.replace(/-/g, '+').replace(/_/g, '/');
let jsonPayload = decodeURIComponent(atob(base64).split('').map(function (c) {
return '%' + ('00' + c.charCodeAt(0).toString(16)).slice(-2);
}).join(''));
let user = JSON.parse(jsonPayload);
localStorage.setItem("token", jwtTokenString);
localStorage.setItem("expire_ts", user.exp);
localStorage.setItem("user", jsonPayload);
return user;
}
parseTokenGetUser(tokenString)
复制代码
复制上面javascript代码到浏览器console中执行就可以解析出用户信息了! 当然您要可以使用在线工具来解析jwt token的payload荷载 JWT在线解析工具
4. go语言Gin框架实现JWT用户认证
接下来我将使用最受欢迎的gin-gonic/gin 和 dgrijalva/jwt-go 这两个package来演示怎么使用JWT身份认证.
4.1 登录接口
4.1.1 登录接口路由(login-route)
r := gin.New()
r.MaxMultipartMemory = 32 << 20
//sever static file in http's root path
binStaticMiddleware, err := felixbin.NewGinStaticBinMiddleware("/")
if err != nil {
return err
}
//支持跨域
mwCORS := cors.New(cors.Config{
AllowOrigins: []string{"*"},
AllowMethods: []string{"PUT", "PATCH", "POST", "GET", "DELETE"},
AllowHeaders: []string{"Origin", "Authorization", "Content-Type"},
ExposeHeaders: []string{"Content-Type"},
AllowCredentials: true,
AllowOriginFunc: func(origin string) bool {
return true
},
MaxAge: 2400 * time.Hour,
})
r.Use(binStaticMiddleware, mwCORS)
{
r.POST("comment-login", internal.LoginCommenter) //评论用户登陆
r.POST("comment-register", internal.RegisterCommenter) //评论用户注册
}
api := r.Group("api")
api.POST("admin-login", internal.LoginAdmin) //管理后台登陆
复制代码
internal.LoginCommenter
和 internal.LoginAdmin
这两个方法是一样的, 只需要关注其中一个就可以了,我们就关注internal.LoginCommenter
4.1.2 登录login handler
编写登录的handler
func LoginCommenter(c *gin.Context) {
var mdl model.User
err := c.ShouldBind(&mdl)
if handleError(c, err) {
return
}
//获取ip
ip := c.ClientIP()
//roleId 8 是评论系统的用户
data, err := mdl.Login(ip, 8)
if handleError(c, err) {
return
}
jsonData(c, data)
}
复制代码
其中最关键的是mdl.Login(ip, 8)
这个函数
- 1.数据库查询用户
- 2.校验用户role_id
- 3.比对密码
- 4.防止密码泄露(清空struct的属性)
- 5.生成JWT-string //Login func (m User) Login(ip string, roleId uint) (string, error) { m.Id = 0 if m.Password == "" { return "", errors.New("password is required") } inputPassword := m.Password //获取登录的用户 err := db.Where("username = ? or email = ?", m.Username, m.Username).First(&m).Error if err != nil { return "", err } //校验用户角色 if (m.RoleId & roleId) != roleId { return "", fmt.Errorf("not role of %d", roleId) } //验证密码 //password is set to bcrypt check if err := bcrypt.CompareHashAndPassword([]byte(m.HashedPassword), []byte(inputPassword)); err != nil { return "", err } //防止密码泄露 m.Password = "" //生成jwt-string return jwtGenerateToken(m, time.Hour24*365) }
4.1.2 生成JWT-string(核心代码)
4.2 JWT中间件(middleware)
使用了jwt-middle之后的handle从gin.Context中获取用户信息,
func mWuserId(c *gin.Context) (uint, error) {
v,exist := c.Get(contextKeyUserObj)
if !exist {
return 0,errors.New(contextKeyUserObj + " not exist")
}
user, ok := v.(model.User)
if ok {
return user.Id, nil
}
return 0,errors.New("can't convert to user struct")
}
复制代码
4.2 使用JWT中间件
一下代码有两个JWT中间件的用法
5. Cookie-Session VS JWT
JWT和session有所不同,session需要在服务器端生成,服务器保存session,只返回给客户端sessionid,客户端下次请求时带上sessionid即可,因为session是储存在服务器中,有多台服务器时会出现一些麻烦,需要同步多台主机的信息,不然会出现在请求A服务器时能获取信息,但是请求B服务器身份信息无法通过,JWT能很好的解决这个问题,服务器端不用保存jwt,只需要保存加密用的secret,在用户登录时将jwt加密生成并发送给客户端,由客户端存储,以后客户端的请求带上,由服务器解析jwt并验证,这样服务器不用浪费空间去存储登录信息,不用浪费时间去做同步,
5.1 什么是cookie
基于cookie的身份验证是有状态的,这意味着验证的记录或者会话(session)必须同时保存在服务器端和客户端,服务器端需要跟踪记录session并存至数据库, 同时前端需要在cookie中保存一个sessionID,作为session的唯一标识符,可看做是session的“身份证”,
cookie,简而言之就是在客户端(浏览器等)保存一些用户操作的历史信息(当然包括登录信息),并在用户再次访问该站点时浏览器通过HTTP协议将本地cookie内容发送给服务器,从而完成验证,或继续上一步操作,
5.2 什么是session
session,会话,简而言之就是在服务器上保存用户操作的历史信息,在用户登录后,服务器存储用户会话的相关信息,并为客户端指定一个访问凭证,如果有客户端凭此凭证发出请求,则在服务端存储的信息中,取出用户相关登录信息, 并且使用服务端返回的凭证常存储于Cookie中,也可以改写URL,将id放在url中,这个访问凭证一般来说就是SessionID,
5.3 cookie-session身份验证机制的流程
session和cookie的目的相同,都是为了克服http协议无状态的缺陷,但完成的方法不同, session可以通过cookie来完成,在客户端保存session id,而将用户的其他会话消息保存在服务端的session对象中,与此相对的,cookie需要将所有信息都保存在客户端, 因此cookie存在着一定的安全隐患,例如本地cookie中保存的用户名密码被破译,或cookie被其他网站收集(例如:1. appA主动设置域B cookie,让域B cookie获取;2. XSS,在appA上通过javascript获取document.cookie,并传递给自己的appB),
- 用户输入登录信息
- 服务器验证登录信息是否正确,如果正确就创建一个session,并把session存入数据库
- 服务器端会向客户端返回带有sessionID的cookie
- 在接下来的请求中,服务器将把sessionID与数据库中的相匹配,如果有效则处理该请求
- 如果用户登出app,session会在客户端和服务器端都被销毁
5.4 Cookie-session 和 JWT 使用场景
后端渲染HTML页面建议使用Cookie-session认证
后按渲染页面可以很方便的写入/清除cookie到浏览器,权限控制非常方便.很少需要要考虑跨域AJAX认证的问题.
App,web单页面应用,APIs建议使用JWT认证
App,web APIs等的兴起,基于token的身份验证开始流行, 当我们谈到利用token进行认证,我们一般说的就是利用JSON Web Tokens(JWTs)进行认证,虽然有不同的方式来实现token, 事实上,JWTs 已成为标准,因此在本文中将互换token与JWTs,
The End
线上交流工具: 在你的terminal中输入 ssh $用户@mojotv.cn
在你的terminal中输入 ssh mojotv.cn hn
查看最新 hacknews
相关文章
- DetectGPT:使用概率曲率的零样本机器生成文本检测
- AI大模型背后,竟是惊人的碳排放
- CloudOps 战略中的五个基本工具
- 云服务如何实现5G驱动的未来
- 阿里云孙成浩:云网融合的未来属于智能云网
- 人工智能如何改变网络安全
- 必应暗藏戏精模式,拿捏名人说话语气口头禅!官方还自推三种个性供挑选
- 一个摄像头就能让虚拟人唱跳rap,抖音即可玩
- 改进Hinton的Dropout:可以用来减轻欠拟合了
- 图像质量堪忧干扰视觉识别,达摩院提出更鲁棒框架
- 2023年对云计算、即服务和成本优化的预测
- 全方位分析大模型参数高效微调,清华研究登Nature子刊
- 一文搞懂Kubernetes的Limits和Requests
- 基于Kubernetes的CICD实战
- 逆转特征让re-id模型从88.54%到0.15%
- 2023年云计算基础设施趋势
- 烧了137亿美元!Meta自爆未来4年硬件路线图,打造AR眼镜「圣杯」
- AI论文“高引用转化率”排名出炉:OpenAI第一,旷视第二,谷歌位居第九
- 细说Kubernetes Pod的驱逐
- AI读脑炸裂!扫描大脑画面,Stable Diffusion逼真复现图像