溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇“Golang怎么使用JWT進行認證和加密”文章的知識點大部分人都不太理解,所以小編給大家總結了以下內容,內容詳細,步驟清晰,具有一定的借鑒價值,希望大家閱讀完這篇文章能有所收獲,下面我們一起來看看這篇“Golang怎么使用JWT進行認證和加密”文章吧。
JWT是一個簽名的JSON對象,通常用作Oauth3的Bearer token,JWT包括三個用.分割的部分:前兩部分為使用base64url編碼的JSON對象,最后一部分是簽名。第一部分稱為header,包含用于驗證最后一部分簽名所需的信息,如使用的簽名方式和使用的密鑰等,中間的部分是程序最關心的部分,稱為Claim, RFC 7519定義了相關的字段,當然也可以添加自己的字段。
一個token是一個簽名的json對象,涉及兩方面的內容:
token的創建者擁有簽名的secret
數據一旦被簽名就不能修改
需要注意的是,JWT并不支持加密,因此任何人都能讀取token 的內容。如果需要加密數據,可以使用配套的規范--JWE,可以參考這兩個庫:lestrrat-go/jwx和golang-jwt/jwe。
簽名方法有很多種,在使用前可能需要花時間挑選合適的簽名方法,主要考量點為:對稱和非對稱。
對稱簽名方法,如HSA,只需要一個secret即可,這也是最簡單的簽名方法,可以使用任何[]byte作為有效的secret。對稱加密的計算速度也相對快一些。當token的生產者和消費者都可信的前提下,可以考慮使用對稱加密。由于對稱加密使用相同的secret進行token的簽名和驗證,因此不能輕易將密鑰分發出去。
非對稱簽名,如RSA,則使用了不同的密鑰進行簽名和token驗證,因此可以使用私鑰生成token,并允許消費者使用公鑰進行驗證。
這里提一下,OAuth和JWT并不是一回事,一個JWT token只是一個簡單的被簽名的JSON對象,可以用在所需要的地方,最常見的方式是用在OAuth3認證中。
下面描述了二者是如何交互的:
OAuth是一種允許身份提供者與用戶登錄的服務分離的協議。例如,你可以使用Facebook登陸不同的服務(Yelp、Spotify等),此時用的就是OAuth。
OAuth定義了幾種傳遞身份驗證數據的選項,其中流行的一種方式稱為"bearer token",一個bearer token就是一個只能被已認證的用戶持有的簡單字符串,即通過提供該token來進行身份認證。從這里可以看出JWT可以作為一種bearer token。
由于bearer token用于認證,因此私密性很重要,這也是為什么通常會通過SSL來使用bearer token。
從上面的官方描述中可以看到JWT其實就是一個字符串,其分為三段:header,主要指定簽名方法;claim,用于提供用戶身份數據;signature,使用header中指定的簽名方法進行簽名,簽名時主要使用了三個基礎數據:
1.簽名密鑰:在對稱簽名(如HMAC)中作為哈希數據的一部分,在非對稱簽名(如ECDSA)中則作為私鑰。在JWT的簽名和驗證過程中都需要使用到密鑰。
2.JWT的過期時間:JWT有一個過期時間。在用戶登陸服務器之后,服務器會給客戶端返回JWT,當客戶端服務服務端時會將JWT傳遞給服務端,服務端除了需要驗證客戶端的簽名之外還需要驗證該token是否過期,JWT的過期時間數據位于claims中。
3.claim:主要包含了JWT相關的信息,用戶可以擴展自己的claim信息。簽名方法會使用這部分信息進行簽名。如下是標準的claims,可以看到這部分信息其實與SSL證書中的字段雷同。
type StandardClaims struct {
Audience string `json:"aud,omitempty"`
ExpiresAt int64 `json:"exp,omitempty"`
Id string `json:"jti,omitempty"`
IssuedAt int64 `json:"iat,omitempty"`
Issuer string `json:"iss,omitempty"`
NotBefore int64 `json:"nbf,omitempty"`
Subject string `json:"sub,omitempty"`
}另外需要注意的是,JWT是使用明文交互的,其中claim中包含了用戶的敏感信息,因此需要使用JWE進行加密。
在了解JWT之前可以看下幾個重要的術語:
JWS(SignedJWT):經過簽名的jwt,為三段式結構:header、claims、signature
JWA:簽名算法,即 header中的alg字段值。
JWE(EncryptedJWT):用于加密payload,如JWT,主要字段如下:
const ( AgreementPartyUInfoKey = "apu" #(Algorithm) Header Parameter AgreementPartyVInfoKey = "apv" AlgorithmKey = "alg" #(Algorithm) Header Parameter CompressionKey = "zip" #(Compression Algorithm) Header Parameter ContentEncryptionKey = "enc" #(Encryption Algorithm) Header Parameter ContentTypeKey = "cty" #(Content Type) Header Parameter CriticalKey = "crit" #(Critical) Header Parameter EphemeralPublicKeyKey = "epk" JWKKey = "jwk" #(JSON Web Key) Header Parameter JWKSetURLKey = "jku" #(JWK Set URL) Header Parameter KeyIDKey = "kid" #(Key ID) Header Parameter TypeKey = "typ" #(Type) Header Parameter X509CertChainKey = "x5c" #(X.509 Certificate Chain) Header Parameter X509CertThumbprintKey = "x5t" #(X.509 Certificate SHA-1 Thumbprint) Header Parameter X509CertThumbprintS256Key = "x5t#S256" #(X.509 Certificate SHA-256 Thumbprint) Header Parameter X509URLKey = "x5u" #(X.509 URL) Header Parameter )
JWK:是一個JSON數據結構,用于JWS的簽名驗證以及JWE的加解密,主要字段如下:
const ( KeyTypeKey = "kty" #(Key Type) Parameter KeyUsageKey = "use" #(Public Key Use) Parameter KeyOpsKey = "key_ops" #(Key Operations) Parameter AlgorithmKey = "alg" #(Algorithm) Parameter KeyIDKey = "kid" #(Key ID) Parameter X509URLKey = "x5u" #(X.509 URL) Parameter X509CertChainKey = "x5c" #(X.509 Certificate Chain) Parameter X509CertThumbprintKey = "x5t" #(X.509 Certificate SHA-1 Thumbprint) Parameter X509CertThumbprintS256Key = "x5t#S256" #(X.509 Certificate SHA-256 Thumbprint) Parameter )
lestrrat-go庫中給出了很多例子。在使用該庫之前簡單看下主要的函數:
jwt.NewBuilder:創建一個表示JWT 的結構體(也可以使用jwt.New創建):
type stdToken struct {
mu *sync.RWMutex
dc DecodeCtx // per-object context for decoding
options TokenOptionSet // per-object option
audience types.StringList // https://tools.ietf.org/html/rfc7519#section-4.1.3
expiration *types.NumericDate // https://tools.ietf.org/html/rfc7519#section-4.1.4
issuedAt *types.NumericDate // https://tools.ietf.org/html/rfc7519#section-4.1.6
issuer *string // https://tools.ietf.org/html/rfc7519#section-4.1.1
jwtID *string // https://tools.ietf.org/html/rfc7519#section-4.1.7
notBefore *types.NumericDate // https://tools.ietf.org/html/rfc7519#section-4.1.5
subject *string // https://tools.ietf.org/html/rfc7519#section-4.1.2
privateClaims map[string]interface{} //用戶自定義的claims
}jwt.Sign:用于對JWT 進行簽名,輸入為表示JWT元素的stdToken,輸出為[]byte
jwt.Parse:將簽名的token解析為stdToken,輸入為jwt.Sign的輸出。
jws.sign:使用字符串來創建JWS消息,入參為[]byte。與jwt.Sign的不同點在于,前者的入參是stdToken標準結構體,而后者是任意字符串。
jws.parse:對編碼的JWS消息進行解碼,輸出結構如下:
type Message struct {
dc DecodeCtx
payload []byte
signatures []*Signature
b64 bool // true if payload should be base64 encoded
}jwe.Encrypt:加密payload
jwe.Decrypt:解密payload
下面看下如何生成JWT,以及如何結合使用JWE和JWK對其進行加密。
下面jwt使用對稱方式進行簽名/解析,jwe使用非對稱方式進行加解密
package main
import (
"crypto/rand"
"crypto/rsa"
"fmt"
"github.com/lestrrat-go/jwx/v2/jwa"
"github.com/lestrrat-go/jwx/v2/jwe"
"github.com/lestrrat-go/jwx/v2/jwk"
"github.com/lestrrat-go/jwx/v2/jws"
"github.com/lestrrat-go/jwx/v2/jwt"
"time"
)
func main() {
// 創建一個jwt token結構體
tok, err := jwt.NewBuilder().
Issuer(`github.com/lestrrat-go/jwx`).
IssuedAt(time.Now()).
Build()
if err != nil {
fmt.Printf("failed to build token: %s\n", err)
return
}
//創建對稱簽名的key
key, err := jwk.FromRaw([]byte(`abracadabra`))
if err != nil {
fmt.Printf(`failed to create new symmetric key: %s`, err)
return
}
key.Set(jws.KeyIDKey, `secret-key`)
//使用HS256對稱簽名方式進行簽名,生成JWS
signed, err := jwt.Sign(tok, jwt.WithKey(jwa.HS256, key))
//下面使用jwe對JWS進行加密,使用的是非對稱加密方式
//首先生成RSA密鑰對
rawprivkey, err := rsa.GenerateKey(rand.Reader, 2048)
if err != nil {
fmt.Printf("failed to create raw private key: %s\n", err)
return
}
//提取私鑰,用于解密
privkey, err := jwk.FromRaw(rawprivkey)
if err != nil {
fmt.Printf("failed to create private key: %s\n", err)
return
}
//提取公鑰,用于加密
pubkey, err := privkey.PublicKey()
if err != nil {
fmt.Printf("failed to create public key:%s\n", err)
return
}
//使用公鑰加密JWS
encrypted, err := jwe.Encrypt(signed, jwe.WithKey(jwa.RSA_OAEP, pubkey))
if err != nil {
fmt.Printf("failed to encrypt payload: %s\n", err)
return
}
//使用私鑰解密出JWS
decrypted, err := jwe.Decrypt(encrypted, jwe.WithKey(jwa.RSA_OAEP, privkey))
if err != nil {
fmt.Printf("failed to decrypt payload: %s\n", err)
return
}
//使用對稱簽名方式解析出token 結構體
parsedTok, err := jwt.Parse(decrypted, jwt.WithKey(jwa.HS256, key), jwt.WithValidate(true))
if err != nil {
fmt.Println("failed to parse signed token")
return
}
fmt.Println(parsedTok)
}下面使用非對稱方式進行簽名/解析:
package main
import (
"crypto/rand"
"crypto/rsa"
"fmt"
"github.com/lestrrat-go/jwx/v2/jwa"
"github.com/lestrrat-go/jwx/v2/jwt"
)
func main() {
//創建RSA密鑰對
privKey, err := rsa.GenerateKey(rand.Reader, 2048)
if err != nil {
fmt.Printf("failed to generate private key: %s\n", err)
return
}
var payload []byte
{ // 創建JWT payload
token := jwt.New()
token.Set(`foo`, `bar`)
//使用RSA私鑰進行簽名
payload, err = jwt.Sign(token, jwt.WithKey(jwa.RS256, privKey))
if err != nil {
fmt.Printf("failed to generate signed payload: %s\n", err)
return
}
}
{ // 使用RSA公鑰進行解析
token, err := jwt.Parse(
payload,
jwt.WithValidate(true),
jwt.WithKey(jwa.RS256, &privKey.PublicKey),
)
if err != nil {
fmt.Printf("failed to parse JWT token: %s\n", err)
return
}
fmt.Println(token)
}
}上面使用的JWK是使用代碼生成的,也可以加載本地文件(jwk.ReadFile)或通過JSU的方式從網絡上拉取所需的JWK(jwk.Fetch)。
lestrrat-go的官方文檔中給出了很多指導。
{
v, err := jwk.ReadFile(`private-key.pem`, jwk.WithPEM(true))
if err != nil {
// handle error
}
}
{
v, err := jwk.ReadFile(`public-key.pem`, jwk.WithPEM(true))
if err != nil {
// handle error
}
} srv := httptest.NewTLSServer(http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
w.WriteHeader(http.StatusOK)
fmt.Fprintf(w, `{
"keys": [
{"kty":"EC",
"crv":"P-256",
"x":"MKBCTNIcKUSDii11ySs3526iDZ8AiTo7Tu6KPAqv7D4",
"y":"4Etl6SRW2YiLUrN5vfvVHuhp7x8PxltmWWlbbM4IFyM",
"use":"enc",
"kid":"1"},
{"kty":"RSA",
"n": "0vx7agoebGcQSuuPiLJXZptN9nndrQmbXEps2aiAFbWhM78LhWx4cbbfAAtVT86zwu1RK7aPFFxuhDR1L6tSoc_BJECPebWKRXjBZCiFV4n3oknjhMstn64tZ_2W-5JsGY4Hc5n9yBXArwl93lqt7_RN5w6Cf0h5QyQ5v-65YGjQR0_FDW2QvzqY368QQMicAtaSqzs8KJZgnYb9c7d0zgdAZHzu6qMQvRL5hajrn1n91CbOpbISD08qNLyrdkt-bFTWhAI4vMQFh7WeZu0fM4lFd2NcRwr3XPksINHaQ-G_xBniIqbw0Ls1jF44-csFCur-kEgU8awapJzKnqDKgw",
"e":"AQAB",
"alg":"RS256",
"kid":"2011-04-29"}
]
}`)
}))
defer srv.Close()
set, err := jwk.Fetch(
context.Background(),
srv.URL,
// This is necessary because httptest.Server is using a custom certificate
jwk.WithHTTPClient(srv.Client()),
)
if err != nil {
fmt.Printf("failed to fetch JWKS: %s\n", err)
return
}以上就是關于“Golang怎么使用JWT進行認證和加密”這篇文章的內容,相信大家都有了一定的了解,希望小編分享的內容對大家有幫助,若想了解更多相關的知識內容,請關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
