JWT认证的解析和实际使用

这周在个人项目上完成了登录注册,其中便涉及到一些认证问题,接触到了jwt,全称JSON Web Token。现在很多项目都在使用这个作为session的替代。那么我们先来看看他的组成

组成

JSON Web Token(JWT)是一种开放标准(RFC 7519),定义了一种紧凑且自包含的方式,用于以JSON对象的形式在各方之间安全地传输信息。该信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。

总结出以下几点:以JSON格式传输、传输中包含一些隐私信息、可以公钥或私钥进行签名

JSON Web Token由三个由点(.)分隔的部分组成,分别是:

  1. 标头(Header)
  2. 有效负载(Payload)
  3. 签名(Signature)

因此,JWT通常看起来像这样:

xxx.yyyyy.zzzz

接下来进行具体分析讲解

标头(Header): 标头通常包含两部分:令牌的类型(JWT)和使用的签名算法。例如:

json 复制代码
{
  "alg": "HS256",
  "typ": "JWT"
}

然后,此JSON进行Base64Url编码,形成JWT的第一部分。

有效负载(Payload): 有效负载包含声明(CLaim)。声明是关于实体(通常是用户)和附加数据的陈述。有三种类型的声明:注册、公共和私有声明。

  1. Registered claims

可以想成是标准公认的一些讯息,可以选择性放,例如:

  • iss(Issuer):JWT签发者
  • exp(Expiration Time):JWT的过期时间,过期时间必须大于签发JWT时间
  • sub(Subject):JWT所面向的用户
  • aud(Audience):接收JWT的一方
  • nbf(Not Before):也就是定义拟发放JWT之后,的某段时间点前该JWT仍旧是不可用的
  • iat(Issued At):JWT签发时间
  • jti(JWT id):JWT的身份标识,每个JWT的id都应该是不重复的,避免重复发放
  1. Public claims

这个,可以想成是传递的栏位必须是跟上面Registered claims栏位不能冲突,然后可以向官方申请定义公开声明,会进行审核等步骤,实务上在开发上是不太会用这部分的。

  1. Private claims

这个就是发放JWT伺服器可以自定义的栏位的部分,例如实务上会放User Account、User Name、User Role等不敏感的数据。

例如:

JSON 复制代码
{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后,有效负载进行Base64Url编码,形成JWT的第二部分。

签名(Signature): 由经过指定算法加密后的header和payload组成,以及自己提供的secret

secret是存储在服务端中的,如果客户端获得了则可以随意生成jwt

例如,如果要使用HMAC SHA256算法,签名将以以下方式创建:

scss 复制代码
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret
)

签名用于验证消息在传递过程中未被更改,并且对于使用私钥签名的令牌,它还可以验证JWT的发送方是其所声称的身份。

将所有部分组合在一起,输出是三个由点分隔的Base64-URL字符串,可以在HTML和HTTP环境中轻松传递,与基于XML的标准(如SAML)相比更为紧凑。

但是由于编码方式是固定的,所以我们可以很清楚的获取到jwt中除签名以外的任何信息。我们确认信息的真伪则是通过签名。可以通过 JWT.IO 查看jwt包含的信息

用处

  1. 授权: 这是使用JWT的最常见场景。一旦用户登录,每个后续请求都将包含JWT,允许用户访问具有该令牌允许的路由、服务和资源。由于JWT具有小的开销并且易于在不同域之间使用,单点登录(Single Sign On)是一种广泛使用JWT的功能。
  2. 信息交换: JSON Web Tokens是安全传输信息的一种良好方式。由于JWT可以签名,例如使用公钥/私钥对,您可以确信发送方是其声称的身份。此外,由于签名是使用标头和有效负载计算的,您还可以验证内容是否未被篡改。

JSON Web Tokens是如何工作的?

在身份验证中,用户使用其凭据成功登录后,将返回一个JSON Web Token。由于令牌是凭据,必须小心以防止安全问题。通常情况下,不应该将令牌保存得比所需时间更长。

用户想要访问受保护的路由或资源时,用户代理应该发送JWT,通常使用Bearer模式在Authorization标头中。标头的内容应该如下所示:

Authorization: Bearer <token>

在某些情况下,这可能是一种无状态的授权机制。服务器的受保护路由将检查Authorization标头中是否有有效的JWT,如果存在,则允许用户访问受保护的资源。如果JWT包含必要的数据,则可能减少对数据库进行某些操作的需求,尽管这并非总是如此。

请注意,如果通过HTTP标头发送JWT令牌,应尽量防止它们变得过大。一些服务器不接受超过8 KB的标头。如果尝试在JWT令牌中嵌入太多信息(例如包括所有用户权限),可能需要使用其他解决方案,如Auth0 Fine-Grained Authorization。

如果令牌在Authorization标头中发送,跨源资源共享(CORS)将不是一个问题,因为它不使用cookie。

以下图表显示了如何获取JWT并将其用于访问API或资源的过程:

实际使用

首先我们定义一个声明

go 复制代码
type Claims struct {
	UserID string `json:"user_id"`
	AppKey string `json:"app_key"`
	jwt.StandardClaims
}

一共实现以下方法,分别为获取secret、生成、解析

go 复制代码
type JwtPort interface {
	GetJWTSecret() []byte
	GenerateToken(userid string, AppKey string) (string, error)
	ParseToken(tokenString string) (*Claims, error)
}

使用以下外部库

go 复制代码
go get -u github.com/dgrijalva/jwt-go

具体实现:

go 复制代码
// JWTAdapters is a struct that encapsulates functionality related to JWT (JSON Web Token) operations.
type JWTAdapters struct {
	logger logger.LoggerPorts
}

// NewJWTAdapters is a constructor function for JWTAdapters, initializing it with the provided logger.
func NewJWTAdapters(logger logger.LoggerPorts) *JWTAdapters {
	return &JWTAdapters{
		logger: logger,
	}
}

// GetJWTSecret returns the JWT secret key from the global configuration.
func (j JWTAdapters) GetJWTSecret() []byte {
	return []byte(global.JWTSetting.Secret)
}

// GenerateToken generates a JWT token with the specified user ID and application key.
// It returns the generated token as a string and any error encountered during the process.
func (j JWTAdapters) GenerateToken(userid string, AppKey string) (string, error) {
	now := time.Now()
	expireTime := now.Add(7200)
	claims := middleware.Claims{
		UserID: util.EncodingMD5(userid),
		AppKey: util.EncodingMD5(AppKey),
		StandardClaims: jwt.StandardClaims{
			ExpiresAt: expireTime.Unix(),
			Issuer:    global.JWTSetting.Issuer,
		},
	}
	tokenClaims := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	return tokenClaims.SignedString(j.GetJWTSecret())
}

// ParseToken parses the provided JWT token string and returns the claims if the token is valid.
// It returns an error if the token is invalid or any other error occurs during parsing.
func (j JWTAdapters) ParseToken(tokenString string) (*middleware.Claims, error) {
	tokenClaims, err := jwt.ParseWithClaims(tokenString, &middleware.Claims{}, func(token *jwt.Token) (interface{}, error) {
		return j.GetJWTSecret(), nil
	})
	if err != nil {
		return nil, err
	}
	if claims, ok := tokenClaims.Claims.(*middleware.Claims); tokenClaims.Valid && ok {
		return claims, nil
	}

	// Log a message for an invalid token.
	j.logger.Log(4, "INVALID TOKEN")
	return nil, err
}

此处使用了自定义的logger,可直接去掉

再定义一个handler

go 复制代码
func (j *JWTHandlerAdapter) JWTHandler() gin.HandlerFunc {
	// get token
	// token exist ? validate : abort
	// next or abort
	return func(c *gin.Context) {
		token, exist := c.GetQuery("token")
		if !exist {
			token = c.GetHeader("token")
		}

		if token == "" {
			c.JSON(http.StatusUnauthorized, gin.H{"msg": jwt.ErrSignatureInvalid})
			c.Abort()
			return
		} else {
			_, err := j.jwtPorts.ParseToken(token)
			if err != nil {
				switch err.(*jwt.ValidationError).Errors {
				case jwt.ValidationErrorExpired:
					c.JSON(http.StatusOK, gin.H{"msg": jwt.ValidationErrorExpired})
				default:
					c.JSON(http.StatusUnauthorized, gin.H{"msg": jwt.ValidationErrorNotValidYet})
				}
				c.Abort()
				return
			}
		}
		c.Next()
	}
}

之后直接用于框架中即可

相关推荐
初晴~5 分钟前
【Redis分布式锁】高并发场景下秒杀业务的实现思路(集群模式)
java·数据库·redis·分布式·后端·spring·
盖世英雄酱5813610 分钟前
InnoDB 的页分裂和页合并
数据库·后端
小_太_阳30 分钟前
Scala_【2】变量和数据类型
开发语言·后端·scala·intellij-idea
直裾33 分钟前
scala借阅图书保存记录(三)
开发语言·后端·scala
星就前端叭1 小时前
【开源】一款基于Vue3 + WebRTC + Node + SRS + FFmpeg搭建的直播间项目
前端·后端·开源·webrtc
小林coding2 小时前
阿里云 Java 后端一面,什么难度?
java·后端·mysql·spring·阿里云
AI理性派思考者2 小时前
【保姆教程】手把手教你在Linux系统搭建早期alpha项目cysic的验证者&证明者
后端·github·gpu
从善若水3 小时前
【2024】Merry Christmas!一起用Rust绘制一颗圣诞树吧
开发语言·后端·rust
机器之心3 小时前
终于等来能塞进手机的文生图模型!十分之一体量,SnapGen实现百分百的效果
人工智能·后端
机器之心3 小时前
首次!大模型自动搜索人工生命,做出AI科学家的Sakana AI又放大招
人工智能·后端