基于gin的golang web开发之认证利器jwt
json web token(jwt)是一种很流行的跨域认证解决方案,jwt基于json可以在进行验证的同时附带身份信息,对于前后端分离项目很有帮助。
eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9.eyjzdwiioiixmjm0nty3odkwiiwibmftzsi6ikpvag4grg9liiwiawf0ijoxnte2mjm5mdiyfq.sflkxwrjsmekkf2qt4fwpmejf36pok6yjv_adqssw5c
jwt由三部分组成,每个部分之间用点.
隔开,分别称为header、payload和verify signature。header和payload经过base64解码后为json明文。
- header包含两个字段,
alg
指明jwt的签名算法,typ
固定为jwt
。 - payload中包含jwt的声明信息,标准中定义了
iss
、sub
、aud
等声明字段,如果标准声明不够用的话,我们还可以增加自定义声明。要注意两点,第一payload只是经过base64编码,几乎就等于是明文,不要包含敏感信息。第二不要在payload中放入过多的信息,因为验证通过以后每一个请求都要包含jwt,信息太多的话会造成一些没有必要的资源浪费。 - verify signature为使用header中指定的算法生成的签名。例如
alg:hs256
签名算法
hmacsha256(base64urlencode(header) + "." + base64urlencode(payload),密钥)
了解完jwt的基本原理之后,我们来看一下在gin中是怎么使用jwt的。
引入gin-jwt中间件
在gin中使用jwt有个开源项目gin-jwt
,这项目几乎包含了我们要用到的一切。例如定义payload中的声明、授权验证的方法、是否使用cookie等等。下面来看一下官网给出的例子。
package main import ( "log" "net/http" "os" "time" jwt "github.com/appleboy/gin-jwt/v2" "github.com/gin-gonic/gin" ) type login struct { username string `form:"username" json:"username" binding:"required"` password string `form:"password" json:"password" binding:"required"` } var identitykey = "id" func hellohandler(c *gin.context) { claims := jwt.extractclaims(c) user, _ := c.get(identitykey) c.json(200, gin.h{ "userid": claims[identitykey], "username": user.(*user).username, "text": "hello world.", }) } type user struct { username string firstname string lastname string } func main() { port := os.getenv("port") r := gin.new() r.use(gin.logger()) r.use(gin.recovery()) if port == "" { port = "8000" } authmiddleware, err := jwt.new(&jwt.ginjwtmiddleware{ realm: "test zone", key: []byte("secret key"), timeout: time.hour, maxrefresh: time.hour, identitykey: identitykey, payloadfunc: func(data interface{}) jwt.mapclaims { if v, ok := data.(*user); ok { return jwt.mapclaims{ identitykey: v.username, } } return jwt.mapclaims{} }, identityhandler: func(c *gin.context) interface{} { claims := jwt.extractclaims(c) return &user{ username: claims[identitykey].(string), } }, authenticator: func(c *gin.context) (interface{}, error) { var loginvals login if err := c.shouldbind(&loginvals); err != nil { return "", jwt.errmissingloginvalues } userid := loginvals.username password := loginvals.password if (userid == "admin" && password == "admin") || (userid == "test" && password == "test") { return &user{ username: userid, lastname: "bo-yi", firstname: "wu", }, nil } return nil, jwt.errfailedauthentication }, authorizator: func(data interface{}, c *gin.context) bool { if v, ok := data.(*user); ok && v.username == "admin" { return true } return false }, unauthorized: func(c *gin.context, code int, message string) { c.json(code, gin.h{ "code": code, "message": message, }) }, tokenlookup: "header: authorization, query: token, cookie: jwt", tokenheadname: "bearer", timefunc: time.now, }) if err != nil { log.fatal("jwt error:" + err.error()) } errinit := authmiddleware.middlewareinit() if errinit != nil { log.fatal("authmiddleware.middlewareinit() error:" + errinit.error()) } r.post("/login", authmiddleware.loginhandler) r.noroute(authmiddleware.middlewarefunc(), func(c *gin.context) { claims := jwt.extractclaims(c) log.printf("noroute claims: %#v\n", claims) c.json(404, gin.h{"code": "page_not_found", "message": "page not found"}) }) auth := r.group("/auth") auth.get("/refresh_token", authmiddleware.refreshhandler) auth.use(authmiddleware.middlewarefunc()) { auth.get("/hello", hellohandler) } if err := http.listenandserve(":"+port, r); err != nil { log.fatal(err) } }
我们可以看到jwt.ginjwtmiddleware用于声明一个中间件。payloadfunc方法中给默认的payload增加了id字段,取值为username。authenticator认证器,我们可以在这里验证用户身份,参数为*gin.context,所以在这里我们可以像写gin handler那样获取到http请求中的各种内容。authorizator授权器可以判断判断当前jwt是否有权限继续访问。当然还可以设置像过期时间,密钥,是否设置cookie等其他选项。
登录handler
以上例子中配置了路由r.post("/login", authmiddleware.loginhandler)
下面我们来看一下登录过程是怎样的。
func (mw *ginjwtmiddleware) loginhandler(c *gin.context) { if mw.authenticator == nil { mw.unauthorized(c, http.statusinternalservererror, mw.httpstatusmessagefunc(errmissingauthenticatorfunc, c)) return } data, err := mw.authenticator(c) if err != nil { mw.unauthorized(c, http.statusunauthorized, mw.httpstatusmessagefunc(err, c)) return } // create the token token := jwt.new(jwt.getsigningmethod(mw.signingalgorithm)) claims := token.claims.(jwt.mapclaims) if mw.payloadfunc != nil { for key, value := range mw.payloadfunc(data) { claims[key] = value } } expire := mw.timefunc().add(mw.timeout) claims["exp"] = expire.unix() claims["orig_iat"] = mw.timefunc().unix() tokenstring, err := mw.signedstring(token) if err != nil { mw.unauthorized(c, http.statusunauthorized, mw.httpstatusmessagefunc(errfailedtokencreation, c)) return } // set cookie if mw.sendcookie { expirecookie := mw.timefunc().add(mw.cookiemaxage) maxage := int(expirecookie.unix() - mw.timefunc().unix()) if mw.cookiesamesite != 0 { c.setsamesite(mw.cookiesamesite) } c.setcookie( mw.cookiename, tokenstring, maxage, "/", mw.cookiedomain, mw.securecookie, mw.cookiehttponly, ) } mw.loginresponse(c, http.statusok, tokenstring, expire) }
loginhandler整体逻辑还是比较简单的,检查并调用前面设置的authenticator方法,验证成功的话生成一个新的jwt,调用payloadfunc方法设置payload的自定义字段,根据sendcookie判断是否需要在http中设置cookie,最后调用loginresponse方法设置返回值。
使用中间件
jwt-gin
包提供了一个标准的gin中间件,我们可以在需要验证jwt的路由上设置中间件。前面例子中对路由组/auth
增加了jwt验证auth.use(authmiddleware.middlewarefunc())
。
func (mw *ginjwtmiddleware) middlewarefunc() gin.handlerfunc { return func(c *gin.context) { mw.middlewareimpl(c) } } func (mw *ginjwtmiddleware) middlewareimpl(c *gin.context) { claims, err := mw.getclaimsfromjwt(c) if err != nil { mw.unauthorized(c, http.statusunauthorized, mw.httpstatusmessagefunc(err, c)) return } if claims["exp"] == nil { mw.unauthorized(c, http.statusbadrequest, mw.httpstatusmessagefunc(errmissingexpfield, c)) return } if _, ok := claims["exp"].(float64); !ok { mw.unauthorized(c, http.statusbadrequest, mw.httpstatusmessagefunc(errwrongformatofexp, c)) return } if int64(claims["exp"].(float64)) < mw.timefunc().unix() { mw.unauthorized(c, http.statusunauthorized, mw.httpstatusmessagefunc(errexpiredtoken, c)) return } c.set("jwt_payload", claims) identity := mw.identityhandler(c) if identity != nil { c.set(mw.identitykey, identity) } if !mw.authorizator(identity, c) { mw.unauthorized(c, http.statusforbidden, mw.httpstatusmessagefunc(errforbidden, c)) return } c.next() }
getclaimsfromjwt方法在当前上下文中获取jwt,失败的话返回未授权。接着会判断jwt是否过期,最后前面设置的authorizator方法验证是否有权限继续访问。
到此这篇关于基于gin的golang web开发之认证利器jwt的文章就介绍到这了,更多相关gin的golang web开发内容请搜索以前的文章或继续浏览下面的相关文章希望大家以后多多支持!