GO中的JWT身份驗證是通過在登錄時生成簽名令牌，通過中間件驗證它們並遵循安全最佳實踐來實現(xiàn)的。 1。使用Golang-JWT/JWT庫來處理令牌創(chuàng)建和解析。 2.成功登錄後，生成具有exp和iAT（例如EXP和IAT）的保證代幣，並通過環(huán)境變量而不是硬編碼值簽名。 3.使用從授權(quán)標頭中提取令牌的中間件保護路線，刪除持票人前綴並驗證簽名和索賠。 4。遵循最佳實踐：使用強大的，隨機生成的秘密；設置短期到期時間；將令牌存儲在httponly，安全的，框架cookie for Web應用程序中；避免將敏感數(shù)據(jù)存儲在有效載荷中；並驗證所有必需的索賠，包括EXP，ISS和AUD。 5。在生產(chǎn)中實現(xiàn)HTTP，並設置安全標頭，例如嚴格的轉(zhuǎn)運 - 安全性和X-content-type-options，以防止攔截和攻擊。 6。對於立即註銷的狀態(tài)會話控件，請考慮使用刷新令牌或選擇傳統(tǒng)的會話cookie，因為JWT是無狀態(tài)且難以撤銷的。始終假定客戶端是不信任的，並確保在每個請求上驗證每個令牌。

使用JWT（JSON Web令牌）身份驗證確保GO Web應用程序是一種常見有效的方法，用於管理現(xiàn)代無狀態(tài)API中的用戶會話。與傳統(tǒng)的基於會話的身份驗證不同，JWT允許您在不在服務器上存儲會話數(shù)據(jù)的用戶對用戶進行身份驗證，這是可擴展的，分佈式系統(tǒng)的理想選擇。

這是在GO Web應用程序中實現(xiàn)安全JWT身份驗證的方法，涵蓋了最佳實踐和潛在的陷阱。

1。了解JWT基礎知識

JWT是一種緊湊的URL安全令牌格式，包含用秘密或私鑰簽名的編碼JSON數(shù)據(jù)（稱為索賠）。典型的JWT有三個部分：

• 標題：指定算法和令牌類型。
• 有效載荷：包含諸如用戶ID，角色，到期時間（ exp ）等的索賠。
• 簽名：確保令牌沒有被篡改。

在GO中，使用流行的golang-jwt/jwt庫（以前是dgrijalva/jwt-go ）：

去獲取github.com/golang-jwt/jwt/v5

2。生成和簽名JWT令牌

用戶成功登錄後，生成簽名的JWT令牌。

進口 （
    “ net/http”
    “時間”
    “ yourapp/auth” //您的auth軟件包
    “ github.com/golang-jwt/jwt/v5”
）

func loginhandler（w http.ResponseWriter，r *http.request）{
    //假設通過了身份驗證
    用戶名：=“ user123”

    //創(chuàng)建索賠，包括標準的索賠，例如有效期
    索賠：= jwt.mapclaims {
        “用戶名”：用戶名，
        “ exp”：time.now（）。添加（time.hour * 72）.unix（），// 3天
        “ iat”：time.now（）。 unix（），
    }

    //創(chuàng)建索賠的令牌
    token：= = jwt.newwithclaims（jwt.signingmethodhs256，索賠）

    //用秘密鍵簽名（安全地存儲?。?    secretkey：= [] byte（“你 - 蘇珀 - 秘密鍵 - 
    tokenstring，err：= token.signedstring（secretkey）
    如果err！ = nil {
        http.error（w，“無法生成令牌”，http.statusinternalservererror）
        返回
    }

    //將令牌返回給客戶
    w.header（）。集（“ content-type”，“ application/json”）
    w.write（[] byte（`{“ token”：“
}

？安全提示：切勿硬編碼秘密密鑰。使用環(huán)境變量（ os.Getenv("JWT_SECRET") ）並確保其漫長而隨機。

3。使用JWT中間件保護路線

創(chuàng)建中間件以驗證受保護的端點上傳入的JWT令牌。

 func jwtmiddleware（下一個http.handlerfunc）http.handlerfunc {
    返回func（w http.ResponseWriter，r *http.request）{
        //從授權(quán)標題中提取令牌
        tokenstring：= r.header.get（“授權(quán)”）
        如果tokenstring ==“” {
            http.Error（W，“需要授權(quán)標題”，http.Statusunauthorized）
            返回
        }

        //如果存在
        如果len（tokenstring）> 7 && tokenstring [：7] ==“ bearer” {
            tokenstring = tokenstring [7：]
        }

        //解析和驗證令牌
        secretkey：= [] byte（“你 - 蘇珀 - 秘密鍵 - 
        token，err：= jwt.parse（tokenstring，func（token *jwt.token）（接口{}，error）{
            //確保簽名方法正確
            如果_，ok：= token.Method。 （*jwt.signingmethodhmac）; ！好的 {
                返回nil，jwt.errsignatureinvalid
            }
            返回Secretkey，nil
        }））

        如果err！ = nil || ！ token.valid {
            http.error（w，“無效或已過期的令牌”，http.statusunauthorized）
            返回
        }

        //令牌有效 - 繼續(xù)處理
        下一個（w，r）
    }
}

在受保護的路線上使用它：

 http.handlefunc（“/preected”，jwtmiddleware（func（w http.ResponseWriter，r *http.request）{
    w.write（[]字節(jié)（“您授權(quán)！”））
}）））

4.安全JWT實施的最佳實踐

為避免常見的安全問題，請遵循以下準則：

• ?使用強大的秘密：生成一個密碼固定的密鑰（例如，32個隨機字節(jié)）。
• ?設置短期到期時間：使用exp索賠並考慮長期會議的刷新令牌。
• ?牢固地將令牌存儲在客戶上：
  • 在水療中心：使用HttpOnly ， Secure ， SameSite cookie而不是localStorage來防止XSS。
  • 對於移動/本機應用程序：使用安全的存儲機制。
• ?徹底驗證索賠：檢查exp ， iss （發(fā)行人）， aud （受眾）（如果適用）。
• ?避免有效載荷中的敏感數(shù)據(jù)：JWT是基本64編碼的，未加密 - 任何人都可以解碼它們。
• ?除非有必要，否則請勿將JWT用於會話無效：由於JWT是無狀態(tài)的，因此提早撤銷需要額外的工作（例如，區(qū)塊列表或數(shù)據(jù)庫檢查）。對於高安全性場景，請考慮帶有刷新令牌的短壽命令牌。

可選：使用自定義類型的結(jié)構(gòu)化主張：

類型索賠struct {
    用戶名字符串`json：“用戶名”`
    JWT.RegisteredClaims
}

//然後在解析時使用jwt.mapclaims或索賠結(jié)構(gòu)

5?？蛇x：使用HTTPS和安全的標題

始終在生產(chǎn)中使用HTTP上的HTTP上的GO應用程序，以防止令牌攔截。您可以使用中間件或反向代理（例如Nginx或Caddy）強制執(zhí)行它。

另外，設置安全標頭：

 w.header（）。設置（“嚴格 - 轉(zhuǎn)移 - 安全性”，“ max-age = 63072000; incressubdomains”）
w.header（）。 set（“ x-content-type-options”，“ nosniff”）

最後筆記

JWT強大，但不是銀彈。當：

• 您需要無狀態(tài)的身份驗證。
• 您正在建立由水療中心或移動應用程序消耗的API。
• 您嚴格遵循安全性最佳實踐。

對於更簡單的應用程序，或者如果您需要即時註銷，則具有安全後端的傳統(tǒng)會話cookie可能更安全，更容易。

在GO中實施JWT並不一定要復雜 - 只是對秘密，代幣壽命以及存儲的位置保持謹慎。

基本上，保持簡單，牢固地簽名，徹底驗證，並始終假設客戶不能被信任。

以上是使用JWT身份驗證保護GO Web應用程序的詳細內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！