Go語言如何使用golang

第Go語言如何使用golang目錄前言1.什么是JWT2.JWT的數(shù)據(jù)結(jié)構(gòu)2.1Header2.2Payload2.3Signature2.4Base64URL3使用JWT安裝生成Token總結(jié)

前言

最近寫的項目中用到了JWT鑒權(quán)，因此做個記錄

原先的jwt-go倉庫已經(jīng)不再維護，遷移到了/golang-jwt/jwt/v4

但是網(wǎng)上大多數(shù)還是v3版本的使用教程，建議使用更加安全的v4

1.什么是JWT

JSONWebToken(JWT)是一個開放標準(RFC7519)，它定義了一種緊湊的、自包含的方式，用于作為JSON對象在各方之間安全地傳輸信息。特別適用于分布式站點的單點登錄（SSO）場景。JWT的聲明一般被用來在身份提供者和服務(wù)提供者間傳遞被認證的用戶身份信息，以便于從資源服務(wù)器獲取資源，也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息，該token也可直接被用于認證，也可被加密。

2.JWT的數(shù)據(jù)結(jié)構(gòu)

實際的JWT由三部分組成，如下圖

中間用點（.）分隔成三個部分。注意，JWT內(nèi)部是沒有換行的，這里只是為了便于展示，將它寫成了幾行。JWT的三個部分依次如下：

Header（頭部）Payload（負載）Signature（簽名）

寫成一行就是Header.Payload.Signature

2.1Header

Header部分是一個JSON對象，描述JWT的元數(shù)據(jù)，通常是下面的樣子

{

"alg":"HS256",

"typ":"JWT"

上面代碼中，alg屬性表示簽名的算法（algorithm），默認是HMACSHA256（寫成HS256）；typ屬性表示這個令牌（token）的類型（type），JWT令牌統(tǒng)一寫為JWT。

將上面的JSON對象使用Base64URL算法（詳見后文）轉(zhuǎn)成字符串就成了第一部分Header。

2.2Payload

Payload部分也是一個JSON對象，用來存放實際需要傳遞的數(shù)據(jù)。JWT規(guī)定了7個官方字段，供選用。

iss(issuer)：簽發(fā)人exp(expirationtime)：過期時間sub(subject)：主題aud(audience)：受眾nbf(NotBefore)：生效時間iat(IssuedAt)：簽發(fā)時間jti(JWTID)：編號

我們還可以在這個部分自己定義字段，下面就是一個例子

{

"sub":"1234567890",

"name":"JohnDoe",

"admin":true

注意，JWT默認是不加密的，任何人都可以讀到，所以不要把秘密信息放在這個部分。

這個JSON對象也要使用Base64URL算法轉(zhuǎn)成字符串。

2.3Signature

Signature部分是對前兩部分的簽名，防止數(shù)據(jù)篡改。

首先，需要指定一個密鑰（secret）。這個密鑰只有服務(wù)器才知道，不能泄露給用戶。然后，使用Header里面指定的簽名算法（默認是HMACSHA256），按照下面的公式產(chǎn)生簽名。

HMACSHA256(

base64UrlEncode(header)+"."+

base64UrlEncode(payload),

secret)

2.4Base64URL

前面提到，Header和Payload串型化的算法是Base64URL。這個算法跟Base64算法基本類似，但有一些小的不同。

JWT作為一個令牌（token），有些場合可能會放到URL（比如/token=xxx）。Base64有三個字符+，/和=，在URL里面有特殊含義，所以要被替換掉：=被省略、+替換成-，/替換成_。這就是Base64URL算法。

算出簽名以后，把Header、Payload、Signature三個部分拼成一個字符串，每個部分之間用點（.）分隔，就可以返回給用戶。

3使用JWT

安裝

goinstall"/golang-jwt/jwt/v4"

生成Token

定義claims和serect

typeMyClaimsstruct{

Phonestring`json:"phone"`

jwt.RegisteredClaims//注意!這是jwt-go的v4版本新增的，原先是jwt.StandardClaims

varMySecret=[]byte("手寫的從前")//定義secret，后面會用到

生成token

//這里傳入的是手機號，因為我項目登陸用的是手機號和密碼

funcMakeToken(phonestring)(tokenStringstring,errerror){

claim:=MyClaims{

Phone:phone,

RegisteredClaims:jwt.RegisteredClaims{

ExpiresAt:jwt.NewNumericDate(time.Now().Add(3*time.Hour*time.Duration(1))),//過期時間3小時

IssuedAt:jwt.NewNumericDate(time.Now()),//簽發(fā)時間

NotBefore:jwt.NewNumericDate(time.Now()),//生效時間

token:=jwt.NewWithClaims(jwt.SigningMethodHS256,claim)//使用HS256算法

tokenString,err=token.SignedString(MySecret)

returntokenString,err

解析token

funcSecret()jwt.Keyfunc{

returnfunc(token*jwt.Token)(interface{},error){

return[]byte("手寫的從前"),nil//這是我的secret

funcParseToken(tokenssstring)(*MyClaims,error){

token,err:=jwt.ParseWithClaims(tokenss,MyClaims{},Secret())

iferr!=nil{

ifve,ok:=err.(*jwt.ValidationError);ok{

ifve.Errorsjwt.ValidationErrorMalformed!=0{

returnnil,errors.New("that'snotevenatoken")

}elseifve.Errorsjwt.ValidationErrorExpired!=0{

returnnil,errors.New("tokenisexpired")

}elseifve.Errorsjwt.ValidationErrorNotValidYet!=0{

returnnil,errors.New("tokennotactiveyet")

}else{

returnnil,errors.New("couldn'thandlethistoken")

ifcl