Golang JWT实现Web身份验证教程

　　发布于2025-12-12　阅读（0）

扫一扫，手机访问

JWT由Header、Payload、Signature组成，通过SigningMethodHS256生成签名，使用密钥创建Token并返回；2. 客户端在Authorization头携带Bearer Token，中间件解析并验证签名有效性；3. 验证通过后从中提取用户信息存入上下文，供后续处理使用；4. 路由通过authMiddleware保护接口，确保只有合法Token可访问受保护资源。

Golang使用JWT实现Web身份验证

在Web开发中，身份验证是保障系统安全的重要环节。Golang结合JWT（JSON Web Token）是一种常见且高效的实现方式。JWT具备无状态、可扩展、跨域支持等优点，非常适合分布式系统中的用户认证。

JWT基本原理

JWT由三部分组成：Header、Payload 和 Signature。它们用点（.）连接成一个字符串，格式为 xxx.yyy.zzz。

服务器在用户登录成功后生成JWT，客户端后续请求携带该Token，服务器通过验证签名确认其有效性，无需查库或维护会话状态。

安装必要的包

使用 golang-jwt/jwt 包来处理Token的生成与解析：

go get github.com/golang-jwt/jwt/v5

生成JWT Token

在用户登录验证通过后，创建并返回Token。

示例代码：

func generateToken(userID string) (string, error) {
    claims := jwt.MapClaims{
        "user_id": userID,
        "exp":     time.Now().Add(time.Hour * 72).Unix(), // 72小时过期
    }
token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
return token.SignedString([]byte("your-secret-key"))
}

注意：密钥（如 "your-secret-key"）应通过环境变量管理，避免硬编码。

验证JWT中间件

编写中间件拦截请求，检查Token有效性。

示例中间件：

func authMiddleware(next http.HandlerFunc) http.HandlerFunc {
    return func(w http.ResponseWriter, r *http.Request) {
        tokenString := r.Header.Get("Authorization")
        if tokenString == "" {
            http.Error(w, "Authorization header missing", http.StatusUnauthorized)
            return
        }
    // 去除 "Bearer " 前缀
    tokenString = strings.TrimPrefix(tokenString, "Bearer ")

    token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
        if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
            return nil, fmt.Errorf("unexpected signing method")
        }
        return []byte("your-secret-key"), nil
    })

    if err != nil || !token.Valid {
        http.Error(w, "Invalid or expired token", http.StatusUnauthorized)
        return
    }

    // 提取用户信息，可存入上下文
    if claims, ok := token.Claims.(jwt.MapClaims); ok {
        userID := claims["user_id"].(string)
        ctx := context.WithValue(r.Context(), "userID", userID)
        next.ServeHTTP(w, r.WithContext(ctx))
        return
    }

    http.Error(w, "Token claims invalid", http.StatusUnauthorized)
}
}

在路由中使用

将中间件应用到需要保护的接口：

http.HandleFunc("/login", loginHandler)
http.HandleFunc("/protected", authMiddleware(protectedHandler))

登录接口调用 generateToken 返回Token，受保护接口则自动验证Token。

基本上就这些。核心是生成Token、验证签名、提取信息。只要密钥安全、过期时间合理，JWT就能为Golang Web服务提供可靠的身份验证机制。

本文转载于：互联网如有侵犯，请联系zhengruancom@outlook.com删除。
免责声明：正软商城发布此文仅为传递信息，不代表正软商城认同其观点或证实其描述。

上一篇：vivo浏览器怎么拦截弹窗广告

下一篇：Steam官网入口及登录地址详解

产品推荐

售后无忧
立即购买>

DAEMON Tools Lite 10【序列号终身授权 + 中文版 + Win】

￥150.00
office旗舰店
售后无忧
立即购买>

DAEMON Tools Ultra 5【序列号终身授权 + 中文版 + Win】

￥198.00
office旗舰店
售后无忧
立即购买>

DAEMON Tools Pro 8【序列号终身授权 + 中文版 + Win】

￥189.00
office旗舰店
售后无忧
立即购买>

CorelDRAW X8 简体中文【标准版 + Win】

￥1788.00
office旗舰店

正版软件

Eclipse JNA 无法显示 com.sun 包解决方法

Eclipse默认通过类型过滤器（TypeFilters）隐藏com.sun.*等非标准JDK内部API，导致代码补全不显示com.sun下的类——这不是JNA配置问题，而是Eclipse的安全与规范限制。

5小时前 23:45 0
正版软件

Golang获取变量地址方法解析

使用&运算符获取变量地址，可将地址传递给指针变量或函数以实现直接内存操作。例如，&age返回age的内存地址，*int类型指针可存储该地址，并通过*ptr解引用访问值；结构体和数组同样适用，如&p获取结构体地址，且Go允许直接用pp.Name访问字段；在函数参数中传入地址（如increment(&num)）可修改原始变量，避免值拷贝，提升效率。

6小时前 23:30 Golang 变量地址 0
正版软件

C# 判断文件是否存在方法详解

使用File.Exists可判断文件是否存在，该方法安全高效，返回布尔值，示例：stringfilePath=@"C:\example\test.txt";if(File.Exists(filePath))Console.WriteLine("文件存在");elseConsole.WriteLine("文件不存在");注意路径格式、权限及跨平台大小写差异，结合FileInfo可获取文件属性，但多数场景File.Exists已足够。

6小时前 23:15 C# 文件存在 0
正版软件

MySQL大规模历史数据表优化设计思路

本文旨在探讨如何为包含大量历史数据的MySQL数据库设计高效的表结构，尤其针对需要为10,000客户存储多年月度交易数据的场景。我们将重点关注主键设计、实体关系建模、数据写入策略以及性能优化，确保系统在处理数百万甚至数十亿行数据时仍能保持良好的查询性能和可扩展性。

6小时前 23:00 0
正版软件

Redis ZSet实现延时任务队列方法

直接用毫秒时间戳作ZSet的score会导致浮点精度丢失和并发重复投递；应将时间戳左移10位并添加自增序列号，兼顾精度、顺序与安全性。

6小时前 22:45 0