在 Web 开发中,身份验证是一个绕不开的话题。传统的 Session 机制依赖服务器存储用户状态,而在微服务、分布式架构下,这种方式可能会导致状态同步困难。
JWT(JSON Web Token)是一种无状态的、跨平台的身份验证解决方案,非常适合现代 Web API 场景。
本文将带你用 Go 实现一个 JWT 登录验证示例,掌握它的基本原理与使用方式。
一、什么是 JWT
JWT 的结构由三部分组成:
header.payload.signature- • Header:声明类型(JWT)和加密算法(如 HMAC SHA256)。
- • Payload:存放业务数据(如用户ID、角色、过期时间)。
- • Signature:对前两部分进行签名,保证数据不可篡改。
例如:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
.eyJ1c2VyX2lkIjoxLCJleHAiOjE3MDAwMDAwMDB9
.abc123456789xyz二、实现思路
- 1. 用户登录 → 校验账号密码正确 → 生成 JWT 返回给前端。
- 2. 前端请求 API → 在
Authorization头中携带 JWT。 - 3. 后端中间件 → 解析 JWT,验证有效性与过期时间。
- 4. 通过验证 → 执行后续业务逻辑。
三、代码实现
我们使用 github.com/golang-jwt/jwt/v5 作为 JWT 库。
1. 初始化依赖
go get github.com/golang-jwt/jwt/v52. 定义 JWT 工具
package mainimport ("fmt""time""github.com/golang-jwt/jwt/v5"
)var jwtSecret = []byte("my_secret_key")// 生成Token
func GenerateToken(username string) (string, error) {claims := jwt.MapClaims{"username": username,"exp": time.Now().Add(2 * time.Hour).Unix(),"iat": time.Now().Unix(),}token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)return token.SignedString(jwtSecret)
}// 验证Token
func ParseToken(tokenString string) (jwt.MapClaims, error) {token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {return jwtSecret, nil})if claims, ok := token.Claims.(jwt.MapClaims); ok && token.Valid {return claims, nil}return nil, err
}3. 构建简单登录和受保护接口
package mainimport ("encoding/json""fmt""net/http""strings"
)// 模拟用户数据
var users = map[string]string{"alice": "123456","bob": "654321",
}func loginHandler(w http.ResponseWriter, r *http.Request) {username := r.FormValue("username")password := r.FormValue("password")if pwd, ok := users[username]; !ok || pwd != password {http.Error(w, "用户名或密码错误", http.StatusUnauthorized)return}token, _ := GenerateToken(username)w.Header().Set("Content-Type", "application/json")json.NewEncoder(w).Encode(map[string]string{"token": token})
}func authMiddleware(next http.HandlerFunc) http.HandlerFunc {return func(w http.ResponseWriter, r *http.Request) {authHeader := r.Header.Get("Authorization")if authHeader == "" {http.Error(w, "缺少Authorization头", http.StatusUnauthorized)return}parts := strings.SplitN(authHeader, " ", 2)if len(parts) != 2 || parts[0] != "Bearer" {http.Error(w, "Authorization格式错误", http.StatusUnauthorized)return}claims, err := ParseToken(parts[1])if err != nil {http.Error(w, "无效Token", http.StatusUnauthorized)return}fmt.Printf("JWT解析结果: %+v\n", claims)next.ServeHTTP(w, r)}
}func protectedHandler(w http.ResponseWriter, r *http.Request) {fmt.Fprintln(w, "欢迎访问受保护的资源!")
}func main() {http.HandleFunc("/login", loginHandler)http.HandleFunc("/protected", authMiddleware(protectedHandler))fmt.Println("服务器启动:http://localhost:8080")http.ListenAndServe(":8080", nil)
}4. 测试流程
- 1. 登录获取 Token
curl -X POST "http://localhost:8080/login" -d "username=alice&password=123456"返回:
{"token":"eyJhbGciOiJIUzI1NiIsInR5cCI..."}- 2. 访问受保护接口
curl -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI..." http://localhost:8080/protected输出:
欢迎访问受保护的资源!四、注意事项
- 1. Token 过期处理:前端需在过期后重新获取 Token。
- 2. Secret 安全性:切勿将
jwtSecret写死在代码里,可用环境变量管理。 - 3. HTTPS:避免 Token 在明文传输中被窃取。
- 4. 黑名单机制:如果需要即时让某个 Token 失效,可以维护一个黑名单。
五、总结
JWT 在 Go 中实现并不复杂,但它带来的无状态身份验证机制,非常适合 RESTful API 和分布式架构场景。
通过本示例,你可以快速搭建一个基于 JWT 的登录验证系统,并根据业务需求进行扩展,比如刷新 Token、角色权限控制等。
)
)
![为什么C++主函数 main 要写成 int 返回值 | main(int argc, char* argv[]) 这种写法是什么意思?](http://pic.xiahunao.cn/为什么C++主函数 main 要写成 int 返回值 | main(int argc, char* argv[]) 这种写法是什么意思?)
)
