使用go進行 JWT 驗證

這是一個建立於 的文章，其中的資訊可能已經有所發展或是發生改變。

對於使用負載平衡的伺服器來說,使用 JWT(JSON WEB TOKEN) 是一個更優的選擇,session受到單台伺服器的限制,一個使用者登入過後就只能分配到
這一台伺服器上,這和負載平衡的初衷不一致啊,而 jwt 就解決了這類的痛點

使用 JWT 的情境

• 身分識別驗證 使用者在登入過後伺服器會用 jwt 返回使用者可訪問的資源,比如許可權什麼的
• 傳遞資訊 通過 jwt 的header和signature可以保證payload沒有被篡改,保證資訊的安全

JWT 的結構

JWT 是由header,payload,signature三部分組成的,咱們先用例子說話

• header

{  "alg": "HS256",  "typ": "JWT"}// base64編碼的字串`eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9`

這裡規定了密碼編譯演算法,hash256

• payload

{  "sub": "1234567890",  "name": "John Doe",  "admin": true}// base64編碼的字串`eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9`

這裡的內容沒有強制要求,因為 paylaod 就是為了承載內容而存在的,不過想用規範的話也可以參考下面的* iss: jwt簽發者* sub: jwt所面向的使用者* aud: 接收jwt的一方* exp: jwt的到期時間，這個到期時間必須要大於簽發時間* nbf: 定義在什麼時間之前，該jwt都是停用.* iat: jwt的簽發時間* jti: jwt的唯一身份標識，主要用來作為一次性token,從而迴避重放攻擊。

• signature

是用 header + payload + secret組合起來加密的,公式是:

HMACSHA256(  base64UrlEncode(header) + "." +  base64UrlEncode(payload),  secret)

這裡 secret就是自己定義的一個隨機字串,這一個過程只能發生在 server 端,會隨機產生一個 hash 值

這樣組合起來之後就是一個完整的 jwt 了:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.4c9540f793ab33b13670169bdf444c1eb1c37047f18e861981e14e34587b1e04

這裡有一個用 go 加密和驗證 jwt 的 demo

總結

選擇 jwt 最大的理由:

1. 內容有公開金鑰私密金鑰,可以保證內容的合法性
2. token 中可以包含很多資訊

不過 jwt 不保證的安全問題:

1. 因為header,paylaod是 base64編碼,相當於明文可見的,因此不能在payload中放入敏感資訊
2. 並不能保證資料轉送時會不會被盜用,這一點和 sessionID 一樣,因此不要迷信它有多高的安全性..

為了安全還是要上 https

相關推薦:
jwt.io

部落格原文