Golang 34_Golang_Web服务中的JWT认证

一、JTW 简介

1.1 JTW 简介

JWT 是一种开放的、行业标准的 RFC 7519 方法,用于在两个方之间安全地表示声明。通常,它被用于客户端和服务器之间,用于识别客户端(认证)并授予权限(授权)。这个标准在Web中被广泛使用。在这篇文章中,我将展示如何在 Go Web 服务中使用 JWT 对用户进行认证。

JWT 是一个被广泛采用的标准。在许多网络服务中都用到了 JWT 令牌,用于客户端与服务器以及服务器之间的通信。

1.2 JWT 组成

JWT 简单来说就是一个字符串,包含三个部分:

  • Header(头部): 包含关于令牌类型和用于签署令牌的签名算法的信息
  • Payload(载荷): 包含关于令牌所代表的用户或实体的声明
  • Signature(签名): 用于验证令牌的完整性,确保它没有被篡改

这三部分都是 base64 URL 编码的字符串,使用 · 连接。下面是一个示例:

1
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOiJtYXN0ZXIiLCJleHAiOjE2ODA2MTY2ODEsImlhdCI6MTY4MDUzMDI4MSwiaXNzIjoiYWRtaW4iLCJqdGkiOiIwNTdkMTNjNy1kYmNjLTRkNjAtYTg4OS1iMjY5NGY4NDIzYTciLCJuYmYiOjE2ODA1MzAyODEsInN1YiI6InVzZXIifQ.auw6T_3K6whS3tHkceLvfpeAbIen4dJnCkwL1sU4FYI

1、头部(Header):头部包含了两部分信息,分别是令牌的类型(typ)和所使用的加密算法(alg),它们由 json 格式经 base64url 编码得到。(base64url编码:对于base64编码后的字符串,用 - 替代 +,用 _ 替代/)

例如:

1
2
3
4
5
{
  "alg": "HS256",
  "typ": "JWT"

}

表示这个令牌类型是 JWT,并且是使用RSA256加密算法创建的。

Base64 url 编码得到:

1
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

该字符串成为了Header部分

2、载荷(Payload):载荷包含一些描述用户信息的声明。通常有一些默认的声明名称;此外,也可以包含其它自定义的信息。载荷的内容是经过 base64url编码的,能够被解码。

例如:

1
2
3
4
5
6
7
8
9
{
  "aud": "master",
  "exp": 1680616681,
  "iat": 1680530281,
  "iss": "admin",
  "jti": "057d13c7-dbcc-4d60-a889-b2694f8423a7",
  "nbf": 1680530281,
  "sub": "user",
}

默认的声明名称

  • iss — 签发者(Issuer)
  • sub — 主题(Subject)
  • aud — 受众(Audience)
  • exp — 过期时间(UNIX 时间戳)
  • iat — 发行时间(UNIX 时间戳)
  • nbf — 生效时间(UNIX 时间戳)
  • jti — JWT ID

3、签名(Signature):签名用于验证token的真实性和完整性。签名是由头部、载荷以及密钥结合特定的加密算法生成的。

加密算法例如:

1
2
3
4
5
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  your-256-bit-secret
)

Tips: https://jwt.io/ 可用于编码、解码和验证JSON Web Tokens(JWT)

二、Go Web 服务中使用 JWT 示例

示例中构建一个简单的服务,允许用户注册和登录。一旦用户登录成功,就显示 weblcome 的消息。

代码如下:

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
package main

import (
 "crypto/rsa"
 "crypto/x509"
 "database/sql"
 "encoding/hex"
 "encoding/pem"
 "log"
 "os"
 "time"

 "github.com/gofiber/fiber/v2"
 "github.com/gofiber/template/html/v2"
 "github.com/golang-jwt/jwt/v5"
 "github.com/google/uuid"
 "golang.org/x/crypto/sha3"

 _ "github.com/lib/pq"
)

type User struct {
 Username string `json:"username"`
 Password string `json:"password"`
}

func main() {
 engine := html.New("./views", ".html")
 app := fiber.New(fiber.Config{
  Views: engine,
 })

 privateKey, err := readPrivateKeyFromFile("keys/id_rsa")
 if err != nil {
  panic(err)
 }

 app.Use(jwtMiddleware(privateKey))

 app.Get("/", func(c *fiber.Ctx) error {
  return c.Render("index", fiber.Map{
   "Title":           "JWT Auth",
   "Year":            time.Now().Year(),
   "Username":        c.Locals("username"),
   "IsAuthenticated": c.Locals("username") != nil,
  }, "layouts/main")
 })

 app.Get("/login", func(c *fiber.Ctx) error {
  return c.Render("login", fiber.Map{
   "Title":           "Login",
   "Year":            time.Now().Year(),
   "IsAuthenticated": c.Locals("username") != nil,
  }, "layouts/main")
 })

 app.Get("/register", func(c *fiber.Ctx) error {
  return c.Render("register", fiber.Map{
   "Title":           "Register",
   "Year":            time.Now().Year(),
   "IsAuthenticated": c.Locals("username") != nil,
  }, "layouts/main")
 })

 app.Get("/logout", logout)

 app.Post("/login", login(privateKey))
 app.Post("/register", register)

 if err := app.Listen(":3001"); err != nil {
  panic(err)
 }
}

func jwtMiddleware(privateKey *rsa.PrivateKey) fiber.Handler {
 return func(c *fiber.Ctx) error {
  jwtCookie := c.Cookies("jwt")
  if jwtCookie != "" {
   token, err := jwt.Parse(jwtCookie, func(token *jwt.Token) (interface{}, error) {
    return privateKey.Public(), nil
   })

   if err == nil {
    sub, err := token.Claims.GetSubject()
    if err != nil {
     return c.Next()
    }

    c.Locals("username", sub)
   }
  }

  return c.Next()
 }
}

func login(privateKey *rsa.PrivateKey) fiber.Handler {
 return func(c *fiber.Ctx) error {
  username := c.FormValue("username")
  password := c.FormValue("password")
  if username == "" || password == "" {
   log.Println("Missing username or password")
   return c.Status(fiber.StatusBadRequest).JSON(fiber.Map{
    "message": "Missing username or password",
   })
  }

  hash := hash(password)

  db, err := connectoToDB()
  if err != nil {
   log.Printf("Database error. Error: %v\n", err)
   return c.Status(fiber.StatusInternalServerError).JSON(fiber.Map{
    "message": "Database error",
   })
  }
  defer db.Close()

  var user User
  err = db.QueryRow("SELECT username, password FROM users WHERE username=$1", username).Scan(&user.Username, &user.Password)
  if err != nil {
   log.Printf("Database error. Error: %v\n", err)
   return c.Status(fiber.StatusInternalServerError).JSON(fiber.Map{
    "message": "Database error",
   })
  }

  if user.Password != hash {
   log.Println("Invalid username or password")
   return c.Status(fiber.StatusUnauthorized).JSON(fiber.Map{
    "message": "Invalid username or password",
   })
  }

  expires := time.Now().Add(time.Hour)
  claims := jwt.MapClaims{
   "iss": "admin",
   "sub": user.Username,
   "aud": "users",
   "exp": expires.Unix(),
   "nbf": time.Now().Unix(),
   "iat": time.Now().Unix(),
   "jti": uuid.NewString(),
  }

  token := jwt.NewWithClaims(jwt.SigningMethodRS256, claims)
  t, err := token.SignedString(privateKey)
  if err != nil {
   log.Printf("Error signing token. Error: %v\n", err)
   return c.Status(fiber.StatusInternalServerError).JSON(fiber.Map{
    "message": "Error signing token",
   })
  }

  c.Cookie(&fiber.Cookie{
   Name:    "jwt",
   Value:   t,
   Expires: expires,
  })

  return c.Redirect("/")
 }
}

func logout(c *fiber.Ctx) error {
 c.Cookie(&fiber.Cookie{
  Name:    "jwt",
  Value:   "",
  Expires: time.Now().Add(-time.Hour),
 })

 return c.Redirect("/")
}

func register(c *fiber.Ctx) error {
 username := c.FormValue("username")
 password := c.FormValue("password")
 if username == "" || password == "" {
  log.Println("Missing username or password")
  return c.Status(fiber.StatusBadRequest).JSON(fiber.Map{
   "message": "Missing username or password",
  })
 }

 hash := hash(password)

 db, err := connectoToDB()
 if err != nil {
  log.Printf("Database error. Error: %v\n", err)
  return c.Status(fiber.StatusInternalServerError).JSON(fiber.Map{
   "message": "Database error",
  })
 }
 defer db.Close()

 _, err = db.Exec("INSERT INTO users (username, password) VALUES ($1, $2)", username, hash)
 if err != nil {
  log.Printf("Database error. Error: %v\n", err)
  return c.Status(fiber.StatusInternalServerError).JSON(fiber.Map{
   "message": "Database error",
  })
 }

 return c.Redirect("/")
}

func connectoToDB() (*sql.DB, error) {
 connection := os.Getenv("DATABASE_URL")
 if connection == "" {
  connection = "host=localhost port=5432 user=postgres password=postgres dbname=postgres sslmode=disable"
 }

 return sql.Open("postgres", connection)
}

func hash(str string) string {
 hash := sha3.Sum256([]byte(str))
 doubleHash := sha3.Sum256(hash[:])
 return hex.EncodeToString(doubleHash[:])
}

func readPrivateKeyFromFile(filename string) (*rsa.PrivateKey, error) {
 file, err := os.Open(filename)
 if err != nil {
  return nil, err
 }
 defer file.Close()

 fileInfo, _ := file.Stat()
 fileSize := fileInfo.Size()
 buffer := make([]byte, fileSize)

 _, err = file.Read(buffer)
 if err != nil {
  return nil, err
 }

 data, _ := pem.Decode(buffer)
 privateKey, err := x509.ParsePKCS1PrivateKey(data.Bytes)
 if err != nil {
  return nil, err
 }

 return privateKey, ni
}

示例中有一个中间件声明为jwtMiddleware方法,它检查JWT cookie jwt,如果存在,尝试解析(同时验证签名和验证令牌),并将sub声明(即用户名)保存到本地上下文中。如果用户名存在,则用户已经通过身份验证。否则,用户未通过身份验证。

如果cookie无效,parse方法将失败。请求将被视为未经身份验证。

login方法从表单中获取用户名和密码,使用SHA-3算法对密码进行两次哈希,并尝试通过用户名从数据库中获取用户。如果密码匹配哈希,则生成JWT并返回为一个cookie。

register方法对密码进行哈希处理,并将新用户插入数据库。该方法不太用户友好,因为如果用户已经存在,则会返回错误。对于真实世界的应用程序,最好将用户重定向回注册表单,但这次是带有错误信息的(登录也是如此)。