devbox
繁依Fanyi0
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

jwt身份认证和session身份认证的区别_Go-JWT-RESTful身份认证教程

作者:繁依Fanyi0 | 2024-04-08 20:54:05

restful jwt session

fec330ac0562d8140daada74d2fc495c.png

1.什么是JWT

JWT(JSON Web Token)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息, 一个JWT由三部分组成,Header头部、Claims载荷、Signature签名,

JWT原理类似我们加盖公章或手写签名的的过程,合同上写了很多条款,不是随便一张纸随便写啥都可以的,必须要一些证明,比如签名,比如盖章,JWT就是通过附加签名,保证传输过来的信息是真的,而不是伪造的,

它将用户信息加密到token里,服务器不保存任何用户信息,服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证,

2.JWT构成

一个JWT由三部分组成,Header头部、Claims载荷、Signature签名,

  • - Header头部:头部,表明类型和加密算法
  • - Claims载荷:声明,即载荷(承载的内容)
  • - Signature签名:签名,这一部分是将header和claims进行base64转码后,并用header中声明的加密算法加盐(secret)后构成,

即:

  1. let tmpstr = base64(header)+base64(claims)
  2. let signature = encrypt(tmpstr,secret)
  3. //最后三者用"."连接,即:
  4. let token = base64(header)+"."+base64(claims)+"."+signature

3.javascript提取JWT字符串荷载信息

JWT里面payload可以包含很多字段,字段越多你的token字符串就越长. 你的HTTP请求通讯的发送的数据就越多,回到之接口响应时间等待稍稍的变长一点点.

一下代码就是前端javascript从payload获取登录的用户信息. 当然后端middleware也可以直接解析payload获取用户信息,减少到数据库中查询user表数据.接口速度会更快,数据库压力更小. 后端检查JWT身份验证时候当然会校验payload和Signature签名是否合法.

  1. let tokenString = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.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.tGjukvuE9JVjzDa42iGfh_5jIembO5YZBZDqLnaG6KQ'
  2. function parseTokenGetUser(jwtTokenString) {
  3.     let base64Url = jwtTokenString.split('.')[1];
  4.     let base64 = base64Url.replace(/-/g, '+').replace(/_/g, '/');
  5.     let jsonPayload = decodeURIComponent(atob(base64).split('').map(function (c) {
  6.         return '%' + ('00' + c.charCodeAt(0).toString(16)).slice(-2);
  7.     }).join(''));
  8.     let user = JSON.parse(jsonPayload);
  9.  
  10.     localStorage.setItem("token", jwtTokenString);
  11.     localStorage.setItem("expire_ts", user.exp);
  12.     localStorage.setItem("user", jsonPayload);
  13.     return user;
  14. }
  15. parseTokenGetUser(tokenString)

复制上面javascript代码到浏览器console中执行就可以解析出用户信息了! 当然你要可以使用在线工具来解析jwt token的payload荷载 JWT在线解析工具

4. go语言Gin框架实现JWT用户认证

接下来我将使用最受欢迎的gin-gonic/gin 和 dgrijalva/jwt-go 这两个package来演示怎么使用JWT身份认证.

4.1 登录接口

4.1.1 登录接口路由(login-route)

https://github.com/libragen/felix/blob/master/ssh2ws/ssh2ws.go

  1. r := gin.New()
  2.     r.MaxMultipartMemory = 32 << 20
  3.     //sever static file in http's root path
  4.     binStaticMiddleware, err := felixbin.NewGinStaticBinMiddleware("/")
  5.     if err != nil {
  6.         return err
  7.     }
  8.     //支持跨域
  9.     mwCORS := cors.New(cors.Config{
  10.         AllowOrigins:     []string{"*"},
  11.         AllowMethods:     []string{"PUT", "PATCH", "POST", "GET", "DELETE"},
  12.         AllowHeaders:     []string{"Origin", "Authorization", "Content-Type"},
  13.         ExposeHeaders:    []string{"Content-Type"},
  14.         AllowCredentials: true,
  15.         AllowOriginFunc: func(origin string) bool {
  16.             return true
  17.         },
  18.         MaxAge: 2400 * time.Hour,
  19.     })
  20.     r.Use(binStaticMiddleware, mwCORS)
  21.  
  22.  
  23.     {
  24.         r.POST("comment-login", internal.LoginCommenter)       //评论用户登陆
  25.         r.POST("comment-register", internal.RegisterCommenter) //评论用户注册
  26.     }
  27.  
  28.     api := r.Group("api")
  29.     api.POST("admin-login", internal.LoginAdmin) //管理后台登陆

internal.LoginCommenterinternal.LoginAdmin 这两个方法是一样的, 只需要关注其中一个就可以了,我们就关注internal.LoginCommenter

4.1.2 登录login handler

编写登录的handler

https://github.com/libragen/felix/blob/master/ssh2ws/internal/h_login.go

  1. func LoginCommenter(c *gin.Context) {
  2.     var mdl model.User
  3.     err := c.ShouldBind(&mdl)
  4.     if handleError(c, err) {
  5.         return
  6.     }
  7.     //获取ip
  8.     ip := c.ClientIP()
  9.     //roleId 8 是评论系统的用户
  10.     data, err := mdl.Login(ip, 8)
  11.     if handleError(c, err) {
  12.         return
  13.     }
  14.     jsonData(c, data)
  15. }

其中最关键的是mdl.Login(ip, 8)这个函数 https://github.com/libragen/felix/blob/master/model/m_users.go

  • 1.数据库查询用户
  • 2.校验用户role_id
  • 3.比对密码
  • 4.防止密码泄露(清空struct的属性)
  • 5.生成JWT-string
  1. //Login
  2. func (m *User) Login(ip string, roleId uint) (string, error) {
  3.     m.Id = 0
  4.     if m.Password == "" {
  5.         return "", errors.New("password is required")
  6.     }
  7.     inputPassword := m.Password
  8.     //获取登录的用户
  9.     err := db.Where("username = ? or email = ?", m.Username, m.Username).First(&m).Error
  10.     if err != nil {
  11.         return "", err
  12.     }
  13.     //校验用户角色
  14.     if (m.RoleId & roleId) != roleId {
  15.         return "", fmt.Errorf("not role of %d", roleId)
  16.     }
  17.     //验证密码
  18.     //password is set to bcrypt check
  19.     if err := bcrypt.CompareHashAndPassword([]byte(m.HashedPassword), []byte(inputPassword)); err != nil {
  20.         return "", err
  21.     }
  22.     //防止密码泄露
  23.     m.Password = ""
  24.     //生成jwt-string
  25.     return jwtGenerateToken(m, time.Hour*24*365)
  26. }

4.1.2 生成JWT-string(核心代码)

  • 1.自定义payload结构体,不建议直接使用 dgrijalva/jwt-go jwt.StandardClaims结构体.因为他的payload包含的用户信息太少.
  • 2.实现 type Claims interfaceValid() error 方法,自定义校验内容
  • 3.生成JWT-string jwtGenerateToken(m *User,d time.Duration) (string, error)

https://github.com/libragen/felix/blob/master/model/m_jwt.go

  1. package model
  2.  
  3. import (
  4.     "errors"
  5.     "fmt"
  6.     "time"
  7.  
  8.     "github.com/dgrijalva/jwt-go"
  9.     "github.com/sirupsen/logrus"
  10. )
  11.  
  12. var AppSecret = ""//viper.GetString会设置这个值(32byte长度)
  13. var AppIss = "github.com/libragen/felix"//这个值会被viper.GetString重写
  14.  
  15. //自定义payload结构体,不建议直接使用 dgrijalva/jwt-go `jwt.StandardClaims`结构体.因为他的payload包含的用户信息太少.
  16. type userStdClaims struct {
  17.     jwt.StandardClaims
  18.     *User
  19. }
  20. //实现 `type Claims interface` 的 `Valid() error` 方法,自定义校验内容
  21. func (c userStdClaims) Valid() (err error) {
  22.     if c.VerifyExpiresAt(time.Now().Unix(), true) == false {
  23.         return  errors.New("token is expired")
  24.     }
  25.     if !c.VerifyIssuer(AppIss, true) {
  26.         return  errors.New("token's issuer is wrong")
  27.     }
  28.     if c.User.Id < 1 {
  29.         return errors.New("invalid user in jwt")
  30.     }
  31.     return
  32. }
  33.  
  34. func jwtGenerateToken(m *User,d time.Duration) (string, error) {
  35.     m.Password = ""
  36.     expireTime := time.Now().Add(d)
  37.     stdClaims := jwt.StandardClaims{
  38.         ExpiresAt: expireTime.Unix(),
  39.         IssuedAt:  time.Now().Unix(),
  40.         Id:        fmt.Sprintf("%d", m.Id),
  41.         Issuer:    AppIss,
  42.     }
  43.  
  44.     uClaims := userStdClaims{
  45.         StandardClaims: stdClaims,
  46.         User:           m,
  47.     }
  48.  
  49.     token := jwt.NewWithClaims(jwt.SigningMethodHS256, uClaims)
  50.     // Sign and get the complete encoded token as a string using the secret
  51.     tokenString, err := token.SignedString([]byte(AppSecret))
  52.     if err != nil {
  53.         logrus.WithError(err).Fatal("config is wrong, can not generate jwt")
  54.     }
  55.     return tokenString, err
  56. }
  57.  
  58.  
  59. //JwtParseUser 解析payload的内容,得到用户信息
  60. //gin-middleware 会使用这个方法
  61. func JwtParseUser(tokenString string) (*User, error) {
  62.     if tokenString == "" {
  63.         return nil, errors.New("no token is found in Authorization Bearer")
  64.     }
  65.     claims := userStdClaims{}
  66.     _, err := jwt.ParseWithClaims(tokenString, &claims, func(token *jwt.Token) (interface{}, error) {
  67.         if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
  68.             return nil, fmt.Errorf("unexpected signing method: %v", token.Header["alg"])
  69.         }
  70.         return []byte(AppSecret), nil
  71.     })
  72.     if err != nil {
  73.         return nil, err
  74.     }
  75.     return claims.User, err
  76. }

4.2 JWT中间件(middleware)

  • 1.从url-query的_t获取JWT-string或者从请求头 Authorization中获取JWT-string
  • 2.model.JwtParseUser(token)解析JWT-string获取User结构体(减少中间件查询数据库的操作和时间)
  • 3.设置用户信息到gin.Context 其他的handler通过gin.Context.Get(contextKeyUserObj),在进行用户Type Assert得到model.User 结构体.
  • 4.使用了jwt-middle之后的handle从gin.Context中获取用户信息

https://github.com/libragen/felix/blob/master/ssh2ws/internal/mw_jwt.go

  1. package internal
  2.  
  3. import (
  4.     "net/http"
  5.     "strings"
  6.  
  7.     "github.com/libragen/felix/model"
  8.     "github.com/gin-gonic/gin"
  9. )
  10.  
  11. const contextKeyUserObj = "authedUserObj"
  12. const bearerLength = len("Bearer ")
  13.  
  14. func ctxTokenToUser(c *gin.Context, roleId uint) {
  15.     token, ok := c.GetQuery("_t")
  16.     if !ok {
  17.         hToken := c.GetHeader("Authorization")
  18.         if len(hToken) < bearerLength {
  19.             c.AbortWithStatusJSON(http.StatusPreconditionFailed, gin.H{"msg": "header Authorization has not Bearer token"})
  20.             return
  21.         }
  22.         token = strings.TrimSpace(hToken[bearerLength:])
  23.     }
  24.     usr, err := model.JwtParseUser(token)
  25.     if err != nil {
  26.         c.AbortWithStatusJSON(http.StatusPreconditionFailed, gin.H{"msg": err.Error()})
  27.         return
  28.     }
  29.     if (usr.RoleId & roleId) != roleId {
  30.         c.AbortWithStatusJSON(http.StatusPreconditionFailed, gin.H{"msg": "roleId 没有权限"})
  31.         return
  32.     }
  33.  
  34.     //store the user Model in the context
  35.     c.Set(contextKeyUserObj, *usr)
  36.     c.Next()
  37.     // after request
  38. }
  39.  
  40. func MwUserAdmin(c *gin.Context) {
  41.     ctxTokenToUser(c, 2)
  42. }
  43.  
  44. func MwUserComment(c *gin.Context) {
  45.     ctxTokenToUser(c, 8)
  46. }

使用了jwt-middle之后的handle从gin.Context中获取用户信息, https://github.com/libragen/felix/blob/master/ssh2ws/internal/helper.go

  1. func mWuserId(c *gin.Context) (uint, error) {
  2.     v,exist := c.Get(contextKeyUserObj)
  3.     if !exist {
  4.         return 0,errors.New(contextKeyUserObj + " not exist")
  5.     }
  6.     user, ok := v.(model.User)
  7.     if ok {
  8.         return user.Id, nil
  9.     }
  10.     return 0,errors.New("can't convert to user struct")
  11. }

4.2 使用JWT中间件

一下代码有两个JWT中间件的用法

  • internal.MwUserAdmin 管理后台用户中间件
  • internal.MwUserCommenter 评论用户中间件

https://github.com/libragen/felix/blob/master/ssh2ws/ssh2ws.go

  1. package ssh2ws
  2.  
  3. import (
  4.     "time"
  5.  
  6.     "github.com/libragen/felix/felixbin"
  7.     "github.com/libragen/felix/model"
  8.     "github.com/libragen/felix/ssh2ws/internal"
  9.     "github.com/libragen/felix/wslog"
  10.     "github.com/gin-contrib/cors"
  11.     "github.com/gin-gonic/gin"
  12. )
  13.  
  14. func RunSsh2ws(bindAddress, user, password, secret string, expire time.Duration, verbose bool) error {
  15.     err := model.CreateGodUser(user, password)
  16.     if err != nil {
  17.         return err
  18.     }
  19.     //config jwt variables
  20.     model.AppSecret = secret
  21.     model.ExpireTime = expire
  22.     model.AppIss = "felix.mojotv.cn"
  23.     if !verbose {
  24.         gin.SetMode(gin.ReleaseMode)
  25.     }
  26.     r := gin.New()
  27.     r.MaxMultipartMemory = 32 << 20
  28.     //sever static file in http's root path
  29.     binStaticMiddleware, err := felixbin.NewGinStaticBinMiddleware("/")
  30.     if err != nil {
  31.         return err
  32.     }
  33.  
  34.     mwCORS := cors.New(cors.Config{
  35.         AllowOrigins:     []string{"*"},
  36.         AllowMethods:     []string{"PUT", "PATCH", "POST", "GET", "DELETE"},
  37.         AllowHeaders:     []string{"Origin", "Authorization", "Content-Type"},
  38.         ExposeHeaders:    []string{"Content-Type"},
  39.         AllowCredentials: true,
  40.         AllowOriginFunc: func(origin string) bool {
  41.             return true
  42.         },
  43.         MaxAge: 2400 * time.Hour,
  44.     })
  45.     r.Use(binStaticMiddleware, mwCORS)
  46.  
  47.  
  48.     {
  49.         r.POST("comment-login", internal.LoginCommenter)       //评论用户登陆
  50.         r.POST("comment-register", internal.RegisterCommenter) //评论用户注册
  51.     }
  52.  
  53.     api := r.Group("api")
  54.     api.POST("admin-login", internal.LoginAdmin) //管理后台登陆
  55.     api.GET("meta", internal.Meta)
  56.  
  57.     //terminal log
  58.     hub := wslog.NewHub()
  59.     go hub.Run()
  60.  
  61.     {
  62.         //websocket
  63.         r.GET("ws/hook", internal.MwUserAdmin, internal.Wslog(hub))
  64.         r.GET("ws/ssh/:id", internal.MwUserAdmin, internal.WsSsh)
  65.     }
  66.     //给外部调用
  67.     {
  68.         api.POST("wslog/hook-api", internal.JwtMiddlewareWslog, internal.WsLogHookApi(hub))
  69.         api.GET("wslog/hook", internal.MwUserAdmin, internal.WslogHookAll)
  70.         api.POST("wslog/hook", internal.MwUserAdmin, internal.WslogHookCreate)
  71.         api.PATCH("wslog/hook", internal.MwUserAdmin, internal.WslogHookUpdate)
  72.         api.DELETE("wslog/hook/:id", internal.MwUserAdmin, internal.WslogHookDelete)
  73.  
  74.         api.GET("wslog/msg", internal.MwUserAdmin, internal.WslogMsgAll)
  75.         api.POST("wslog/msg-rm", internal.MwUserAdmin, internal.WslogMsgDelete)
  76.     }
  77.  
  78.     //评论
  79.     {
  80.         api.GET("comment", internal.CommentAll)
  81.         api.GET("comment/:id/:action", internal.MwUserComment, internal.CommentAction)
  82.         api.POST("comment", internal.MwUserComment, internal.CommentCreate)
  83.         api.DELETE("comment/:id", internal.MwUserAdmin, internal.CommentDelete)
  84.     }
  85.     {
  86.         api.GET("hacknews",internal.MwUserAdmin, internal.HackNewAll)
  87.         api.PATCH("hacknews", internal.HackNewUpdate)
  88.         api.POST("hacknews-rm", internal.HackNewRm)
  89.     }
  90.  
  91.     authG := api.Use(internal.MwUserAdmin)
  92.     {
  93.  
  94.         //create wslog hook
  95.  
  96.         authG.GET("ssh", internal.SshAll)
  97.         authG.POST("ssh", internal.SshCreate)
  98.         authG.GET("ssh/:id", internal.SshOne)
  99.         authG.PATCH("ssh", internal.SshUpdate)
  100.         authG.DELETE("ssh/:id", internal.SshDelete)
  101.  
  102.         authG.GET("sftp/:id", internal.SftpLs)
  103.         authG.GET("sftp/:id/dl", internal.SftpDl)
  104.         authG.GET("sftp/:id/cat", internal.SftpCat)
  105.         authG.GET("sftp/:id/rm", internal.SftpRm)
  106.         authG.GET("sftp/:id/rename", internal.SftpRename)
  107.         authG.GET("sftp/:id/mkdir", internal.SftpMkdir)
  108.         authG.POST("sftp/:id/up", internal.SftpUp)
  109.  
  110.         authG.POST("ginbro/gen", internal.GinbroGen)
  111.         authG.POST("ginbro/db", internal.GinbroDb)
  112.         authG.GET("ginbro/dl", internal.GinbroDownload)
  113.  
  114.         authG.GET("ssh-log", internal.SshLogAll)
  115.         authG.DELETE("ssh-log/:id", internal.SshLogDelete)
  116.         authG.PATCH("ssh-log", internal.SshLogUpdate)
  117.  
  118.         authG.GET("user", internal.UserAll)
  119.         authG.POST("user", internal.RegisterCommenter)
  120.         //api.GET("user/:id", internal.SshAll)
  121.         authG.DELETE("user/:id", internal.UserDelete)
  122.         authG.PATCH("user", internal.UserUpdate)
  123.  
  124.     }
  125.  
  126.     if err := r.Run(bindAddress); err != nil {
  127.         return err
  128.     }
  129.     return nil
  130. }

5. Cookie-Session VS JWT

JWT和session有所不同,session需要在服务器端生成,服务器保存session,只返回给客户端sessionid,客户端下次请求时带上sessionid即可,因为session是储存在服务器中,有多台服务器时会出现一些麻烦,需要同步多台主机的信息,不然会出现在请求A服务器时能获取信息,但是请求B服务器身份信息无法通过,JWT能很好的解决这个问题,服务器端不用保存jwt,只需要保存加密用的secret,在用户登录时将jwt加密生成并发送给客户端,由客户端存储,以后客户端的请求带上,由服务器解析jwt并验证,这样服务器不用浪费空间去存储登录信息,不用浪费时间去做同步,

5.1 什么是cookie

基于cookie的身份验证是有状态的,这意味着验证的记录或者会话(session)必须同时保存在服务器端和客户端,服务器端需要跟踪记录session并存至数据库, 同时前端需要在cookie中保存一个sessionID,作为session的唯一标识符,可看做是session的“身份证”,

cookie,简而言之就是在客户端(浏览器等)保存一些用户操作的历史信息(当然包括登录信息),并在用户再次访问该站点时浏览器通过HTTP协议将本地cookie内容发送给服务器,从而完成验证,或继续上一步操作,

b538a0003d91d8313651baa05b021ef3.png

5.2 什么是session

session,会话,简而言之就是在服务器上保存用户操作的历史信息,在用户登录后,服务器存储用户会话的相关信息,并为客户端指定一个访问凭证,如果有客户端凭此凭证发出请求,则在服务端存储的信息中,取出用户相关登录信息, 并且使用服务端返回的凭证常存储于Cookie中,也可以改写URL,将id放在url中,这个访问凭证一般来说就是SessionID,

38d23d3017fb8108ad4ff917d2c11384.png

5.3 cookie-session身份验证机制的流程

session和cookie的目的相同,都是为了克服http协议无状态的缺陷,但完成的方法不同, session可以通过cookie来完成,在客户端保存session id,而将用户的其他会话消息保存在服务端的session对象中,与此相对的,cookie需要将所有信息都保存在客户端, 因此cookie存在着一定的安全隐患,例如本地cookie中保存的用户名密码被破译,或cookie被其他网站收集(例如:1. appA主动设置域B cookie,让域B cookie获取;2. XSS,在appA上通过javascript获取document.cookie,并传递给自己的appB),

  1. 用户输入登录信息
  2. 服务器验证登录信息是否正确,如果正确就创建一个session,并把session存入数据库
  3. 服务器端会向客户端返回带有sessionID的cookie
  4. 在接下来的请求中,服务器将把sessionID与数据库中的相匹配,如果有效则处理该请求
  5. 如果用户登出app,session会在客户端和服务器端都被销毁

5.4 Cookie-session 和 JWT 使用场景

后端渲染HTML页面建议使用Cookie-session认证

后按渲染页面可以很方便的写入/清除cookie到浏览器,权限控制非常方便.很少需要要考虑跨域AJAX认证的问题.

App,web单页面应用,APIs建议使用JWT认证

App、web APIs等的兴起,基于token的身份验证开始流行, 当我们谈到利用token进行认证,我们一般说的就是利用JSON Web Tokens(JWTs)进行认证,虽然有不同的方式来实现token, 事实上,JWTs 已成为标准,因此在本文中将互换token与JWTs.

640fe2d89b80c3aee4005a6ad7f6832a.png
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/繁依Fanyi0/article/detail/388154
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号