Ruoyi-Go 项目实战 - JWT

Ruoyi-Go 实战 - JWT

JWT是什么

JSON Web Token（JWT）是目前最流行的跨域身份验证解决方案。今天给大家介绍JWT的原理和用法。
Go 应用程序中实现 JWT 身份验证。golang-jwt

由于其特性和易用性，该包是在 Go 中实现 JWT 最流行的包。该包提供了生成和验证 JWT 的功能。golang-jwt``golang-jwt

JWT 原理

JWT 的原理是，服务器认证以后，生成一个 JSON 对象，发回给用户，就像下面这样。

{
  "userName": "admin",
  "role": "管理员",
  "userId": 1
}

以后，用户与服务端通信的时候，都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据，服务器在生成这个对象的时候，会加上签名（详见后文）。

服务器就不保存任何 session 数据了，也就是说，服务器变成无状态了，从而比较容易实现扩展。
Jwt 信息一般存在HTTP 请求的头信息Authorization字段里面。

数据结构

它是一个很长的字符串，中间用点（.）分隔成三个部分。注意，JWT 内部是没有换行的，这里只是为了便于展示，将它写成了几行。

JWT 的三个部分依次如下。

Header（头部）
Payload（负载）
Signature（签名）

写成一行，Header 部分是一个 JSON 对象，描述 JWT 的元数据，通常是下面的样子。

Header.Payload.Signature

JWT 使用

1、项目中添加github.com/golang-jwt/jwt

To install the jwt package, you first need to have Go installed, then you can use the command below to add jwt-go as a dependency in your Go program.
安装jwt，第一次进行。
go get -u github.com/golang-jwt/jwt/v5

Import it in your code:
导入
import "github.com/golang-jwt/jwt/v5"

2、作为gin的扩展来使用

auth.Use(utils.JWTAuthMiddleware())
        {
            /*用户信息*/
            auth.GET("getInfo", handlerFunc, api.GetInfoHandler)
            /*获取用户授权菜单*/
            auth.GET("getRouters", handlerFunc, api.GetRoutersHandler)
        }

3、jwt user jwt 为了验证用户信息

4、登录
登录成功之后，用jwt把用户信息生成token 字符串给客户端

生成
func CreateToken(UserName string, UserId int, DeptId int) (string, error) {
    token := jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.MapClaims{
        "user_name": UserName, // 为了添加createBy 字段
        "user_id":   UserId,
        "dept_id":   DeptId,
        "exp":       time.Now().Unix() + int64(config2.Jwt.JwtTtl),
        "iss":       "Ruoyi-Go",
    })

    mySigningKey := []byte(config2.Jwt.Secret)

    return token.SignedString(mySigningKey)
}
验证
func VerifyToken(tokenStr string) (*jwt.Token, error) {
    mySigningKey := []byte(config2.Jwt.Secret)
    tokenStr = strings.ReplaceAll(tokenStr, config2.HeaderSignTokenStr, "")
    return jwt.Parse(tokenStr, func(t *jwt.Token) (interface{}, error) {
        return mySigningKey, nil
    })
}

调取其他接口的时候，进行头部写入token 信息即可。

验证信息有效之后，只需要content.get("userId")。即可等到是那个用户访问的了。

这种无状态的http请求，造成了前后台分离了。

JWT 特点

（1）JWT 默认是不加密，但也是可以加密的。生成原始 Token 以后，可以用密钥再加密一次。

（2）JWT 不加密的情况下，不能将秘密数据写入 JWT。

（3）JWT 不仅可以用于认证，也可以用于交换信息。有效使用 JWT，可以降低服务器查询数据库的次数。

（4）JWT 的最大缺点是，由于服务器不保存 session 状态，因此无法在使用过程中废止某个 token，或者更改 token 的权限。也就是说，一旦 JWT 签发了，在到期之前就会始终有效，除非服务器部署额外的逻辑。

（5）JWT 本身包含了认证信息，一旦泄露，任何人都可以获得该令牌的所有权限。为了减少盗用，JWT 的有效期应该设置得比较短。对于一些比较重要的权限，使用时应该再次对用户进行认证。

（6）为了减少盗用，JWT 不应该使用 HTTP 协议明码传输，要使用 HTTPS 协议传输。

参考链接

https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

https://github.com/golang-jwt/jwt

:sparkling_heart:支持这个项目

如果你正在使用这个项目并感觉良好，或只是想要支持我继续开发，你可以通过如下任意方式支持我：

Star 并分享这个项目 :rocket:
通过以下二维码一次性捐款。我多半会买一杯咖啡茶。:tea:

谢谢！ :heart:

微信赞赏	微信	支付宝
[图片上传失败...(image-23d8e1-1739888950634)]	[图片上传失败...(image-d62d13-1739888950634)]	[图片上传失败...(image-ffe710-1739888950634)]

下载地址

https://gitee.com/OptimisticDevelopers/Ruoyi-Go