Go開發Gin專案新增jwt功能範例詳解

2022-07-18 14:03:52

啥是JWT

JWT全稱JSON Web Token是一種跨域認證解決方案，屬於一個開放的標準，它規定了一種Token實現方式，目前多用於前後端分離專案和OAuth2.0業務場景下。

為什麼要用在你的Gin中使用JWT

傳統的Cookie-Sesson模式佔用伺服器記憶體, 拓展性不好,遇到叢集或者跨服務驗證的場景的話, 要支援Sesson複製或者sesson持久化

JWT的基本原理

在伺服器驗證之後, 得到使用者資訊JSON

{
     "user_id": "xxxxxx",
    "role": "xxxxxx",
    "refresh_token": "xxxxx"
}

JWT TOKEN怎麼組成

JWT是一個很長的字串

eyJhbGciOiJI123afasrwrqqewrcCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

它由三部分組成, 每部分用點(.)分隔, 三個部分依次如下

Header(頭部)
Payload(負載)
Signature(簽名)

Header

Header是一個經過BASE64URL演演算法加密過的JSON物件, 解密後如下

{
  "alg": "HS256",
  "typ": "JWT"
}

其中, alg屬性表示簽名所用的演演算法,預設是HS256;

typ則表示當前token的型別, 而JWT的型別則為jwt

Base64URL

與BASE64類似, 由於+、/、=這幾個符號在URL中有特殊含義, 因此BASE64RUL演演算法, 把這幾個符號進行了替換

+ -> -

= -> 被忽略

/ -> _

Payload

Payload部分也是JSON物件經過BASE64URL演演算法轉成字串的, Payload部分包含7個基本欄位

iss (issuer)：簽發人
exp (expiration time)：過期時間
sub (subject)：主題
aud (audience)：受眾
nbf (Not Before)：生效時間
iat (Issued At)：簽發時間
jti (JWT ID)：編號

也可以往裡面塞入自定義的業務欄位, 如下

user_id

role

Signature

Signature 部分是對前兩部分的簽名，防止資料篡改。

首先，需要指定一個金鑰（secret）。這個金鑰只有伺服器才知道，不能洩露給使用者。然後，使用 Header 裡面指定的簽名演演算法（預設是 HMAC SHA256），按照下面的公式產生簽名。

HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)

解密過程

當系統接收到TOKEN時, 拿出Header和Payload的字串用.拼接在一起之後, 用Header裡面指定的雜湊方法通過公式

HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)

進行加密得出密文

然後用剛剛得出的密文與TOKEN傳過來的密文對比, 如果相等則表明密文沒有更改.

一些特點(優點和缺點)

JWT 預設是不加密，但也是可以加密的。生成原始 Token 以後，可以用金鑰再加密一次。
JWT 不加密的情況下，不能將祕密資料寫入 JWT。
JWT 不僅可以用於認證，也可以用於交換資訊。有效使用 JWT，可以降低伺服器查詢資料庫的次數。
JWT 的最大缺點是，由於伺服器不儲存 session 狀態，因此無法在使用過程中廢止某個 token，或者更改 token 的許可權。也就是說，一旦 JWT 簽發了，在到期之前就會始終有效，除非伺服器部署額外的邏輯。
JWT 本身包含了認證資訊，一旦洩露，任何人都可以獲得該令牌的所有許可權。為了減少盜用，JWT 的有效期應該設定得比較短。對於一些比較重要的許可權，使用時應該再次對使用者進行認證。
為了減少盜用，JWT 不應該使用 HTTP 協定明碼傳輸，要使用 HTTPS 協定傳輸。

GIN整合JWT

go get -u github.com/dgrijalva/jwt-go
go get github.com/gin-gonic/gin

編寫jwtutil

var Secret = []byte("whatasecret")
// jwt過期時間, 按照實際環境設定
const expiration = 2 * time.Minute
type Claims struct {
	// 自定義欄位, 可以存在使用者名稱, 使用者ID, 使用者角色等等
	Username string
	// jwt.StandardClaims包含了官方定義的欄位
	jwt.StandardClaims
}
func GenToken(username string) (string, error) {
	// 建立宣告
	a := &Claims{
		Username: username,
		StandardClaims: jwt.StandardClaims{
			ExpiresAt: time.Now().Add(expiration).Unix(), // 過期時間
			IssuedAt:  time.Now().Unix(),                 // 簽發時間
			Issuer:    "gin-jwt-demo",                    // 簽發者
			Id:        "",                                // 按需求選這個, 有些實現中, 會控制這個ID是不是在黑/白名單來判斷是否還有效
			NotBefore: 0,                                 // 生效起始時間
			Subject:   "",                                // 主題
		},
	}
	// 用指定的雜湊方法建立簽名物件
	tt := jwt.NewWithClaims(jwt.SigningMethodHS256, a)
	// 用上面的宣告和簽名物件簽名字串token
	// 1. 先對Header和PayLoad進行Base64URL轉換
	// 2. Header和PayLoadBase64URL轉換後的字串用.拼接在一起
	// 3. 用secret對拼接在一起之後的字串進行HASH加密
	// 4. 連在一起返回
	return tt.SignedString(Secret)
}
func ParseToken(tokenStr string) (*Claims, error) {
	// 第三個引數: 提供一個回撥函數用於提供要選擇的祕鑰, 回撥函數裡面的token引數,是已經解析但未驗證的,可以根據token裡面的值做一些邏輯, 如`kid`的判斷
	token, err := jwt.ParseWithClaims(tokenStr, &Claims{}, func(token *jwt.Token) (interface{}, error) {
		return Secret, nil
	})
	if err != nil {
		return nil, err
	}
	// 校驗token
	if claims, ok := token.Claims.(*Claims); ok && token.Valid {
		return claims, nil
	}
	return nil, errors.New("invalid token")
}

Secret是祕鑰, 用於加密簽名
expiration是TOKEN過期時間
Claims是簽名宣告物件, 包含自定義的欄位和JWT規定的欄位

type Claims struct {
	// 自定義欄位, 可以存在使用者名稱, 使用者ID, 使用者角色等等
	Username string
	// jwt.StandardClaims包含了官方定義的欄位
	jwt.StandardClaims
}
type StandardClaims struct {
	Audience  string `json:"aud,omitempty"`
	ExpiresAt int64  `json:"exp,omitempty"`
	Id        string `json:"jti,omitempty"`
	IssuedAt  int64  `json:"iat,omitempty"`
	Issuer    string `json:"iss,omitempty"`
	NotBefore int64  `json:"nbf,omitempty"`
	Subject   string `json:"sub,omitempty"`
}

GenToken方法

GenToken方法為某個username生成一個token, 每次生成都不一樣

jwt.NewWithClaims(jwt.SigningMethodHS256, a)宣告了一個簽名物件, 並且指定了HS256的雜湊演演算法

token.SignedString(Secret)表明用剛剛的宣告物件和SECRET利用指定的雜湊演演算法去加密,包含下面流程

先對Header和PayLoad進行Base64URL轉換
Header和PayLoadBase64URL轉換後的字串用.拼接在一起
用secret對拼接在一起之後的字串進行HASH加密
BASE64URL(Header).BASE64URL(Payload).signature連在一起的字串返回

func GenToken(username string) (string, error) {
	// 建立宣告
	a := &amp;Claims{
		Username: username,
		StandardClaims: jwt.StandardClaims{
			ExpiresAt: time.Now().Add(expiration).Unix(), // 過期時間
			IssuedAt:  time.Now().Unix(),                 // 簽發時間
			Issuer:    "gin-jwt-demo",                    // 簽發者
			Id:        "",                                // 按需求選這個, 有些實現中, 會控制這個ID是不是在黑/白名單來判斷是否還有效
			NotBefore: 0,                                 // 生效起始時間
			Subject:   "",                                // 主題
		},
	}
	// 用指定的雜湊方法建立簽名物件
	tt := jwt.NewWithClaims(jwt.SigningMethodHS256, a)
	// 用上面的宣告和簽名物件簽名字串token
	// 1. 先對Header和PayLoad進行Base64URL轉換
	// 2. Header和PayLoadBase64URL轉換後的字串用.拼接在一起
	// 3. 用secret對拼接在一起之後的字串進行HASH加密
	// 4. 連在一起返回
	return tt.SignedString(Secret)
}

ParseToken方法

ParseToken方法解析一個Token, 並驗證Token是否生效

jwt.ParseWithClaims方法, 用於解析Token, 其第三個引數:

提供一個回撥函數用於提供要選擇的祕鑰, 回撥函數裡面的token引數,是已經解析但未驗證的,可以根據token裡面的值做一些邏輯, 如判斷kid來選用不同的secret

KID（可選): 代表祕鑰序號。開發人員可以用它標識認證token的某一祕鑰

func ParseToken(tokenStr string) (*Claims, error) {
	// 第三個引數: 提供一個回撥函數用於提供要選擇的祕鑰, 回撥函數裡面的token引數,是已經解析但未驗證的,可以根據token裡面的值做一些邏輯, 如`kid`的判斷
	token, err := jwt.ParseWithClaims(tokenStr, &amp;Claims{}, func(token *jwt.Token) (interface{}, error) {
		return Secret, nil
	})
	if err != nil {
		return nil, err
	}
	// 校驗token
	if claims, ok := token.Claims.(*Claims); ok &amp;&amp; token.Valid {
		return claims, nil
	}
	return nil, errors.New("invalid token")
}

編寫中介軟體

從Header中取出Authorization並拿去解析jwt.ParseToken,

驗證token是否被串改, 是否過期

從token取出有效資訊並設定到上下文

func JWTAuthMiddleware() func(ctx *gin.Context) {
	return func(ctx *gin.Context) {
		// 根據實際情況取TOKEN, 這裡從request header取
		tokenStr := ctx.Request.Header.Get("Authorization")
		if tokenStr == "" {
			ctx.AbortWithStatusJSON(http.StatusUnauthorized, gin.H{
				"code": code.ERR_AUTH_NULL,
				"msg":  code.GetMsg(code.ERR_AUTH_NULL),
			})
			return
		}
		claims, err := jwt.ParseToken(tokenStr)
		if err != nil {
			ctx.AbortWithStatusJSON(http.StatusUnauthorized, gin.H{
				"code": code.ERR_AUTH_INVALID,
				"msg":  code.GetMsg(code.ERR_AUTH_INVALID),
			})
			return
		} else if time.Now().Unix() &gt; claims.ExpiresAt {
			ctx.AbortWithStatusJSON(http.StatusUnauthorized, gin.H{
				"code": code.ERR_AUTH_EXPIRED,
				"msg":  code.GetMsg(code.ERR_AUTH_EXPIRED),
			})
			return
		}
		// 此處已經通過了, 可以把Claims中的有效資訊拿出來放入上下文使用
		ctx.Set("username", claims.Username)
		ctx.Next()
	}
}

使用中介軟體

/login不用中介軟體

中介軟體指定在authorizedrouter, 因此authorized下的所有路由都會使用此中介軟體

func main() {
	r := gin.Default()
	r.POST("/login", router.Login)
	authorized := r.Group("/auth")
	authorized.Use(jwt.JWTAuthMiddleware())
	{
		authorized.GET("/getUserInfo", router.GetUserInfo)
	}
	r.Run(":8082")
}