首頁 > 軟體

GoLang jwt無感重新整理與SSO單點登入限制解除方法詳解

2023-03-31 06:01:50

前言

為什麼使用JWT

Jwt提供了生成token以及token驗證的方法,而token是一種不用儲存在伺服器端,只需要由使用者攜帶即可實現認證的一種方式。在介紹JWT之前,我們也應該先了解cookiesession

Cookie和Session

為每一位使用者設定一個SessionID,每次都需要對該SessionID進行比對。這個SessionID可能會儲存在Cookie中,安全性不高,並且容易過期(一般session的過期時間都為30分鐘)。由於cookiesession需要儲存在伺服器端,當用戶量非常大的時候,伺服器端的負載就會越來越大。甚至有因此崩潰的可能。所以採用token認證的方式。

token (header.payload.signature)

每個使用者在進行登入的時候如果登入資訊正確就會收到伺服器端頒發的令牌token。當用戶每次進行請求時都會攜帶一個token。該token會在伺服器端進行校驗處理,複雜一點還需要經過一系列中介軟體的處理,確認token格式和引數是否正確。如果一切正常就需要對該使用者的本次操作進行放行。

token 安全性

如果token被非使用者人員獲取到,由於token已經頒發,在此token生效期間伺服器端無法對其進行解除,因為它並不在伺服器端內部進行儲存。也就是說伺服器端的token一旦頒發就無法取消。

基於token安全性的處理

access token 和 refresh token

以下access token簡稱 atokenrefresh token 簡稱 rtoken。無感重新整理方式。

在使用者登入的時候頒發兩個token,atokenrtokenatoken 的有效期很短,根據業務實際需求可以自定義。一般設定為10分鐘足夠。rtoken有效期較長,一般可以設定為一星期或者一個月,根據實際業務需求可以自行定義。(根據查詢資料得知 rtoken需要進行client-sercet才能有效)。當atoken過期之後可以通過rtoken進行重新整理,但是rtoken過期之後,只能重新登入來獲取。

atoken丟失之後沒關係,因為它有效期很短。當rtoken丟失之後也沒關係,因為他需要配合client-sercet才能使用。

使用者端與伺服器端基於無感重新整理流程圖

golang實現atoken和rtoken

引入jwt庫 go get -u github.com/golang-jwt/jwt/v4

頒發token

// GenToken 頒發token access token 和 refresh token
func GenToken(UserID int64, Username string) (atoken, rtoken string, err error) {
	rc := jwt.RegisteredClaims{
		ExpiresAt: getJWTTime(ATokenExpiredDuration),
		Issuer:    TokenIssuer,
	}
	at := MyClaim{
		UserID,
		Username,
		rc,
	}
	atoken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, at).SignedString(mySecret)
	// refresh token 不需要儲存任何使用者資訊
	rt := rc
	rt.ExpiresAt = getJWTTime(RTokenExpiredDuration)
	rtoken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, rt).SignedString(mySecret)
	return
}

在驗證使用者登入之後,根據傳入的UID和Uname,生成atokenrtoken。在頒發token中可以規定token的過期時間

func (t *Token) SignedString(key interface{}) (string, error)
SignedString creates and returns a complete, signed JWT. The token is signed using the SigningMethod specified in the token.

SignedString該方法主要用於token的數位簽章

校驗token

// VerifyToken 驗證Token
func VerifyToken(tokenID string) (*MyClaim, error) {
	var myc = new(MyClaim)
	token, err := jwt.ParseWithClaims(tokenID, myc, keyFunc)
	if err != nil {
		return nil, err
	}
	if !token.Valid {
		return nil, ErrorInvalidToken
	}
	return myc, nil
}

根據傳入的token值來判斷是否有錯誤,如果錯誤為無效,說明token格式不正確。然後校驗token是否過期。

無感重新整理token

// RefreshToken 通過 refresh token 重新整理 atoken
func RefreshToken(atoken, rtoken string) (newAtoken, newRtoken string, err error) {
	// rtoken 無效直接返回
	if _, err = jwt.Parse(rtoken, keyFunc); err != nil {
		return
	}
	// 從舊access token 中解析出claims資料
	var claim MyClaim
	_, err = jwt.ParseWithClaims(atoken, &claim, keyFunc)
	// 判斷錯誤是不是因為access token 正常過期導致的
	v, _ := err.(*jwt.ValidationError)
	if v.Errors == jwt.ValidationErrorExpired {
		return GenToken(claim.UserID, claim.Username)
	}
	return
}

註釋已經寫得很明白了,會根據舊的atoken和rtoken來返回新token。

完整實現程式碼

package main
import (
	"errors"
	"time"
	"github.com/golang-jwt/jwt/v4"
)
const (
	ATokenExpiredDuration  = 2 * time.Hour
	RTokenExpiredDuration  = 30 * 24 * time.Hour
	TokenIssuer            = ""
)
var (
	mySecret          = []byte("xxxx")
	ErrorInvalidToken = errors.New("verify Token Failed")
)
type MyClaim struct {
	UserID   int64  `json:"user_id"`
	Username string `json:"username"`
	jwt.RegisteredClaims
}
func getJWTTime(t time.Duration) *jwt.NumericDate {
	return jwt.NewNumericDate(time.Now().Add(t))
}
func keyFunc(token *jwt.Token) (interface{}, error) {
	return mySecret, nil
}
// GenToken 頒發token access token 和 refresh token
func GenToken(UserID int64, Username string) (atoken, rtoken string, err error) {
	rc := jwt.RegisteredClaims{
		ExpiresAt: getJWTTime(ATokenExpiredDuration),
		Issuer:    TokenIssuer,
	}
	at := MyClaim{
		UserID,
		Username,
		rc,
	}
	atoken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, at).SignedString(mySecret)
	// refresh token 不需要儲存任何使用者資訊
	rt := rc
	rt.ExpiresAt = getJWTTime(RTokenExpiredDuration)
	rtoken, err = jwt.NewWithClaims(jwt.SigningMethodHS256, rt).SignedString(mySecret)
	return
}
// VerifyToken 驗證Token
func VerifyToken(tokenID string) (*MyClaim, error) {
	var myc = new(MyClaim)
	token, err := jwt.ParseWithClaims(tokenID, myc, keyFunc)
	if err != nil {
		return nil, err
	}
	if !token.Valid {
		err = ErrorInvalidToken
		return nil, err
	}
	return myc, nil
}
// RefreshToken 通過 refresh token 重新整理 atoken
func RefreshToken(atoken, rtoken string) (newAtoken, newRtoken string, err error) {
	// rtoken 無效直接返回
	if _, err = jwt.Parse(rtoken, keyFunc); err != nil {
		return
	}
	// 從舊access token 中解析出claims資料
	var claim MyClaim
	_, err = jwt.ParseWithClaims(atoken, &claim, keyFunc)
	// 判斷錯誤是不是因為access token 正常過期導致的
	v, _ := err.(*jwt.ValidationError)
	if v.Errors == jwt.ValidationErrorExpired {
		return GenToken(claim.UserID, claim.Username)
	}
	return
}

SSO(Single Sign On)單使用者登入以及無感重新整理token

實現思路

因為token是由伺服器端頒發並且每次使用者的操作都要在伺服器端校驗token的有效性。因此兩個使用者在不同時間段登入同一個賬號,那麼他們的token肯定會因為時間而有所差別。我們可以將token存放在redis中,與使用者ID進行key-value繫結。如果通過userID查詢到的token不同,那麼說明這個使用者的token已經被更換(該賬號又被登入了)或者token錯誤。就需要重新進行登入操作。

實戰程式碼

// parts[1]是獲取到的atoken,我們使用之前定義好的解析JWT的函數來解析它
mc, err := jwt.VerifyToken(parts[1])
if err != nil {
    // 如果解析失敗,可能是因為token過期,可以進入refreshToken進行判斷
   if newAtoken, newRtoken, err := jwt.RefreshToken(parts[1],rtoken); err == nil {
       // 如果無錯誤,就更新redis中的token
      if err = redis.SetSingleUserToken(mc.Username, newAtoken); err == nil {
          // 這裡根據需求返回給前端,由前端進行處理
         c.Writer.Header().Set("newAtoken", newAtoken)
         c.Writer.Header().Set("newRtoken", newRtoken)
         // 如果無錯誤,請求繼續
          c.Next()
      }
   }
    // 這裡使用的是gin框架, 如果有錯誤直接阻止並返回
   c.Abort()
   return
}
// 如果解析成功,就在redis中進行判斷,是否單使用者登入
// 通過獲取redis中的token來校驗是否單使用者登入
token, err := redis.GetSingleUserToken(mc.Username)
if err != nil {
   serializer.ResponseError(c, e.CodeServerBusy)
   c.Abort()
   return
}

判斷過程

  • 請求從前端傳來,經過認證中介軟體進行校驗token,如果沒有問題就進行redis單使用者校驗。
  • 如果有問題,可能是token過期。進行無感重新整理,如果重新整理成功將新token設定在header中,請求繼續
  • 如果無感重新整理失敗請求阻止。

小結

  • token需要儲存在使用者端中,由前端程式碼進行管理。後端只需做校驗和重新整理處理。
  • 如果使用雙token就用無感重新整理。
  • 如果使用單token就用token校驗。
  • SSO單點登入限制可以通過redis實現。

到此這篇關於GoLang jwt無感重新整理與SSO單點登入限制解除方法詳解的文章就介紹到這了,更多相關Go jwt無感重新整理內容請搜尋it145.com以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援it145.com!


相關文章

  • 德漢姆中學就讀條件 德漢姆中學就讀條件

    <em>Mac</em>Book项目 2009年学校开始实施<em>Mac</em>Book项目,所有师生配备一本<em>Mac</em>Book,并同步更新了校园无线网络。学校每周进行电脑技术更新,每月发送技术支持资料,极大改变了教学及学习方式。因此2011

    2021-06-01 09:32:01

  • 黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列 黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列

    综合看Anker超能充系列的性价比很高,并且与不仅和iPhone12/苹果<em>Mac</em>Book很配,而且适合多设备充电需求的日常使用或差旅场景,不管是安卓还是Switch同样也能用得上它,希望这次分享能给准备购入充电器的小伙伴们有所

    2021-06-01 09:31:42

  • 吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距! 吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距!

    除了L4WUDU与吴亦凡已经多次共事,成为了明面上的厂牌成员,吴亦凡还曾带领20XXCLUB全队参加2020年的一场音乐节,这也是20XXCLUB首次全员合照,王嗣尧Turbo、陈彦希Regi、<em>Mac</em> Ova Seas、林渝植等人全部出场。然而让

    2021-06-01 09:31:34

  • IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢? IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢?

    目前应用IPFS的机构:1 谷歌<em>浏览器</em>支持IPFS分布式协议 2 万维网 (历史档案博物馆)数据库 3 火狐<em>浏览器</em>支持 IPFS分布式协议 4 EOS 等数字货币数据存储 5 美国国会图书馆,历史资料永久保存在 IPFS 6 加

    2021-06-01 09:31:24

  • 有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊 有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊

    开拓者的车机是兼容苹果和<em>安卓</em>,虽然我不怎么用,但确实兼顾了我家人的很多需求:副驾的门板还配有解锁开关,有的时候老婆开车,下车的时候偶尔会忘记解锁,我在副驾驶可以自己开门:第二排设计很好,不仅配置了一个很大的

    2021-06-01 09:30:48

  • iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎? iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎?

    不仅是<em>安卓</em>手机,苹果手机的降价力度也是前所未有了,iPhone12也“跳水价”了,发布价是6799元,如今已经跌至5308元,降价幅度超过1400元,最新定价确认了。iPhone12是苹果首款5G手机,同时也是全球首款5nm芯片的智能机,它

    2021-06-01 09:30:45

IT145.com E-mail:sddin#qq.com