1. JSON Web令牌
如今有很多将身份验证内置到API中的方法 -JSON Web令牌只是其中之一。JSON Web令牌(JWT)作为令牌系统而不是在每次请求时都发送用户名和密码,因此比其他方法(如基本身份验证)具有固有的优势。要了解更多信息,请直接进入jwt.io上的介绍,然后再直接学习。
以下是JWT的实际应用示例。主要有两个部分:提供用户名和密码以获取令牌;并根据请求检查该令牌。
在此示例中,我们使用了两个库,即Go中的JWT实现以及将其用作中间件的方式。
最后,在使用此代码之前,您需要将APP_KEY常量更改为机密(理想情况下,该常量将存储在代码库外部),并改进用户名/密码检查中的内容,TokenHandler以检查不仅仅是myusername/ mypassword组合。
package main
import (
"io"
"log"
"net/http"
"time"
jwtmiddleware "github.com/auth0/go-jwt-middleware"
"github.com/dgrijalva/jwt-go"
)
const (
APP_KEY = "www.topgoer.com"
)
func main() {
// HTTP Endpoints
// 1. To get a new token
// 2. Our example endpoint which requires auth checking
http.HandleFunc("/token", TokenHandler)
http.Handle("/", AuthMiddleware(http.HandlerFunc(ExampleHandler2)))
// Start a basic HTTP server
if err := http.ListenAndServe(":8080", nil); err != nil {
log.Fatal(err)
}
}
// TokenHandler是我们获取用户名和密码的处理程序,如果有效,则返回用于将来请求的令牌。
func TokenHandler(w http.ResponseWriter, r *http.Request) {
w.Header().Add("Content-Type", "application/json")
r.ParseForm()
// 检查提供的凭据-如果将这些凭据存储在数据库中,则查询将在此处进行检查。
username := r.Form.Get("username")
password := r.Form.Get("password")
if username != "myusername" || password != "mypassword" {
w.WriteHeader(http.StatusUnauthorized)
io.WriteString(w, `{"error":"invalid_credentials"}`)
return
}
// 颁发一个有限期一小时的证书
token := jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.MapClaims{
"user": username,
"exp": time.Now().Add(time.Hour * time.Duration(1)).Unix(),
"iat": time.Now().Unix(),
})
tokenString, err := token.SignedString([]byte(APP_KEY))
if err != nil {
w.WriteHeader(http.StatusInternalServerError)
io.WriteString(w, `{"error":"token_generation_failed"}`)
return
}
io.WriteString(w, `{"token":"`+tokenString+`"}`)
return
}
//AuthMiddleware是我们用来检查令牌是否有效的中间件。如果返回401状态无效,则返回给客户。
func AuthMiddleware(next http.Handler) http.Handler {
if len(APP_KEY) == 0 {
log.Fatal("HTTP server unable to start, expected an APP_KEY for JWT auth")
}
jwtMiddleware := jwtmiddleware.New(jwtmiddleware.Options{
ValidationKeyGetter: func(token *jwt.Token) (interface{}, error) {
return []byte(APP_KEY), nil
},
SigningMethod: jwt.SigningMethodHS256,
})
return jwtMiddleware.Handler(next)
}
func ExampleHandler(w http.ResponseWriter, r *http.Request) {
w.Header().Add("Content-Type", "application/json")
io.WriteString(w, `{"status":"ok"}`)
}
func ExampleHandler2(w http.ResponseWriter, r *http.Request) {
w.Header().Add("Content-Type", "application/json")
io.WriteString(w, `{"status":"ok22222"}`)
}
我们在上面的示例流程中显示,首先获取一个令牌,然后在调用端点时使用该令牌。这些是我们使用的命令:
curl -H "Content-Type: application/x-www-form-urlencoded" \
-d "username=myusername&password=mypassword" \
http://localhost:8080/token
curl -H "Authorization: Bearer {{ TOKEN }}" \
-H "Content-Type: application/json" \
http://localhost:8080
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论