17370845950

Go中JWT鉴权核心是生成、解析验证和中间件校验三步；推荐用golang-jwt/jwt/v5库，密钥需32字节随机，载荷只放必要字段并设exp/iat，中间件统一提取Bearer Token、解析注入context，路由中应用并可扩展RBAC，注意httpOnly Cookie、aud/iss校验及jti黑名单防注销漏洞。

在 Go 中实现 JWT 接口鉴权，核心是三步：生成 Token、解析验证 Token、在 HTTP 中间件中拦截并校验。关键不是“用哪个库”，而是理清流程和安全细节。

使用 jwt-go 生成与解析 Token

推荐使用社区维护更活跃的 github.com/golang-jwt/jwt/v5（原 jwt-go 的继任者），避免旧版已知的安全隐患。

• 签名密钥建议用随机生成的 32 字节以上密钥（crypto/rand.Read），不要硬编码或用简单字符串
• Token 载荷（Claims）应只放必要字段，如 user_id、exp、iat；避免存敏感信息或可被篡改的业务数据
• 务必设置 exp（过期时间）和 iat（签发时间），并在解析时启用 VerifyExpiresAt 和 VerifyIssuedAt

编写鉴权中间件统一校验

把 Token 校验逻辑封装成 HTTP 中间件，避免每个 handler 重复写解析代码。

• 从 Authorization: Bearer xxx 头中提取 Token 字符串
• 调用 jwt.ParseWithClaims 验证签名和标准声明；若失败，直接返回 401 Unauthorized
• 验证通过后，将解析出的 Claims（如用户 ID）注入 context.Context，后续 handler 可安全获取
• 注意处理空 Token、格式错误、签名无效、已过期等不同错误，返回明确且不泄露信息的提示（如统一返回 invalid token）

在路由中应用中间件并保护接口

用标准 net/http 或 Gin/Chi 等框架时，中间件注册方式略有不同，但逻辑一致。

• 登录成功后，调用 Token 生成函数，把结果写入响应头或 JSON body（如 {"token": "xxx"}）
• 对需要权限的路由（如 /api/profile），在注册 handler 前叠加鉴权中间件
• 管理后台、用户专属接口等场景，可在中间件里进一步检查 Claims 中的角色（role）字段，做 RBAC 初筛
• 刷新 Token 建议用双 Token 方案（Access + Refresh），Refresh Token 存服务端（如 Redis），并绑定设备指纹/IP

注意常见安全陷阱

JWT 不是银弹，很多漏洞源于误用而非协议本身。

• 别把 Token 存在 localStorage —— XSS 可窃取；优先用 httpOnly + Secure Cookie（配合 SameSite=Strict）
• 服务端必须校验 aud（受众）和 iss（签发方），尤其在多租户或 OAuth 场景下
• 收到注销请求时，不能只删客户端 Token；需在 Redis 维护一个短期黑名单（jti 黑名单），或缩短 Access Token 有效期
• 禁止接受 alg: none 的 Token —— 解析时显式指定允许的 SigningMethod（如 jwt.SigningMethodHS256）