快捷導(dǎo)航

Golang使用Token來驗(yàn)證

更新時(shí)間：2024年08月14日 09:58:37 作者：JawCat

token指的是一種用于驗(yàn)證用戶身份或授權(quán)訪問的憑證,本文主要介紹了Golang使用Token來驗(yàn)證,具有一定的參考價(jià)值,感興趣的可以了解一下

Token的概念及作用

什么是Token？

Token就像是一個(gè)通行證。當(dāng)你登錄某個(gè)網(wǎng)站時(shí)，服務(wù)器會(huì)給你一個(gè)Token，這個(gè)Token里面有一些信息，比如你是誰（用戶身份）。以后你再訪問這個(gè)網(wǎng)站的時(shí)候，就可以帶上這個(gè)Token，服務(wù)器通過驗(yàn)證Token來確認(rèn)你是合法的用戶，而不是別人假冒的。

Token的作用：

身份確認(rèn)：當(dāng)用戶登錄成功后，服務(wù)器給用戶一個(gè)Token。用戶在訪問其他頁面或功能時(shí)，服務(wù)器通過這個(gè)Token確認(rèn)用戶身份。

無狀態(tài)：服務(wù)器不需要記住每個(gè)用戶的登錄狀態(tài)，只需要驗(yàn)證每次請(qǐng)求中攜帶的Token即可。這使得服務(wù)器更容易擴(kuò)展。

安全：Token通常是加密的，別人不能輕易偽造或篡改它。

golang使用token

在Go語言中，我們經(jīng)常使用JWT（JSON Web Token）來實(shí)現(xiàn)Token機(jī)制。JWT是一種很流行的Token格式，使用起來也很方便。

使用JWT的步驟：

安裝JWT庫：

go get github.com/golang-jwt/jwt

生成Token：

當(dāng)用戶登錄時(shí)，我們生成一個(gè)Token并返回給用戶。Token中包含了用戶的信息，比如用戶名和過期時(shí)間。

package main

import (
    "fmt"
    "time"
    "github.com/golang-jwt/jwt"
)

// 定義一個(gè)密鑰，用于加密Token
var jwtKey = []byte("my_secret_key")

// 定義Token中包含的信息
type Claims struct {
    Username string `json:"username"`
    jwt.StandardClaims
}

// 生成Token的函數(shù)
func GenerateToken(username string) (string, error) {
    // 設(shè)置Token的過期時(shí)間，比如24小時(shí)后過期
    expirationTime := time.Now().Add(24 * time.Hour)
    // 創(chuàng)建一個(gè)包含用戶名和過期時(shí)間的聲明
    claims := &Claims{
        Username: username,
        StandardClaims: jwt.StandardClaims{
            ExpiresAt: expirationTime.Unix(),
        },
    }
    // 使用聲明創(chuàng)建一個(gè)Token
    token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
    // 使用密鑰對(duì)Token進(jìn)行簽名
    tokenString, err := token.SignedString(jwtKey)
    if err != nil {
        return "", err
    }
    return tokenString, nil
}

func main() {
    // 假設(shè)用戶名是"user1"
    token, err := GenerateToken("user1")
    if err != nil {
        fmt.Println("生成Token時(shí)出錯(cuò):", err)
    } else {
        fmt.Println("生成的Token:", token)
    }
}

驗(yàn)證Token：

每次用戶帶著Token訪問服務(wù)器時(shí)，我們需要驗(yàn)證Token的合法性，確認(rèn)這個(gè)Token是我們生成的，并且沒有過期。

package main

import (
    "fmt"
    "github.com/golang-jwt/jwt"
    "net/http"
)

// 驗(yàn)證Token的函數(shù)
func ValidateToken(tokenString string) (*Claims, error) {
    claims := &Claims{}
    token, err := jwt.ParseWithClaims(tokenString, claims, func(token *jwt.Token) (interface{}, error) {
        return jwtKey, nil
    })
    if err != nil {
        if err == jwt.ErrSignatureInvalid {
            return nil, fmt.Errorf("無效的Token簽名")
        }
        return nil, fmt.Errorf("無效的Token")
    }
    if !token.Valid {
        return nil, fmt.Errorf("無效的Token")
    }
    return claims, nil
}

func main() {
    http.HandleFunc("/protected", func(w http.ResponseWriter, r *http.Request) {
        // 從請(qǐng)求頭中獲取Token
        tokenString := r.Header.Get("Authorization")
        // 驗(yàn)證Token
        claims, err := ValidateToken(tokenString)
        if err != nil {
            http.Error(w, err.Error(), http.StatusUnauthorized)
            return
        }
        // 如果Token合法，返回歡迎信息
        fmt.Fprintf(w, "Hello, %s", claims.Username)
    })

    http.ListenAndServe(":8080", nil)
}